第1回 限界を迎えつつある「パターンマッチング」という手法
株式会社フォティーンフォティ技術研究所
代表取締役社長
鵜飼裕司
取締役 最高技術責任者
金居良治
2009/10/27
「脆弱性対策にウイルス対策も含めるべきではないか」
yarai開発プロジェクトリーダー 金居良治 |
ここからは、yaraiリリースまでの軌跡をお話したい。
2008年春、新製品【注】開発に向けプロジェクトが発足し、本格的なブレインストーミングやアイデア出しのミーティングを開始した。非常にタイトではあるが、この時点ですでに2009年春新製品リリースという目標を掲げており、そこからさかのぼって設定した「2008年9月開発開始」に向け、アイデア出しの状況から半年以内で概要設計が可能な状態にする必要があった。
【注】 この時点ではまだ概要は見えていない |
私は当プロジェクトのリーダーとして全体指揮をとるとともに、時間の許す限り開発も行った。新製品の方向性としては、プロジェクト発足時から「脆弱性対策に関連した製品」についてのアイデアが多く出ており、主要な機能の1つにしようと考えていた。これには、当社に脆弱性対策についてのノウハウが豊富に蓄積されていること、また、新しく未知の脆弱性を防御できるアイデアが挙がっていたことが、大きな理由となった。
そんな中、ある日、脆弱性対策にウイルス対策も含めるべきではないか、という1つの提案がなされた。
しかし、正直にいうと、私はこの時点ではウイルス対策機能の開発に乗り気でなかった。なぜならすでにウイルス対策ソフト市場は成熟しており、強力なコンペティターが存在する中でベンチャー企業が商業的に成功するのは難しいのではないか、と考えたからである。
ノウハウの蓄積は“あちら側”にも
ところが、実際には既存のウイルス対策ソフトにも多数の問題があり、まだ技術的に完成されていないという事実が判明した。2007年度にIPA公募により標的型攻撃に関する調査を行った際、既存のアンチウイルスソフトは標的型攻撃に対しほとんど効果を発揮しなかったのである。このとき広く使われていた「パターンマッチング」技術が破たんしつつあるのは明らかだった。
「パターンマッチング」とは、古くから存在するウイルス検出方法であり、基本的には特定のバイト列が含まれているかどうかでウイルスを判断している。特定のバイト列は既存のウイルス検体から抽出し、同じバイト列が含まれている場合のみウイルスと判断するため、既存ウイルスに少し手を加えただけの新種ウイルスでも、ウイルスではないと判断されてしまう。
このように、パターンマッチング技術では未知のウイルスに対応できないことが広く認知されるようになり、各ベンダとも未知のウイルス検知の実現に向け、改良を加えているが、やはり既存の技術で何とかしようという動きには限界があるように感じる。
なにしろ、アンチウイルスベンダ側だけでなく、ウイルス作成側にも同様に長年のノウハウが蓄積されているのだ。ウイルス開発環境は整っているし、使用される技術も非常に高度になってきている。
ウイルス対策機能も含めてはどうか、という提案に乗り気でなかった私も、「パターンマッチング」の危機的状況を受け、このような技術トレンドの転換期に新しい技術を搭載し、いままでと違う視点を持った製品を開発することで、既存の製品にはない、まったく新しい効果を発揮できるのではないか、と考えるようになった。
その後さまざまな議論を重ねた結果、2008年8月、「脆弱性防御機能付きのウイルス対策ソフトウェア」の可能性、方向性を模索していくこととなる。
以上が、“パターンマッチングに依存しない”アンチウイルスソフト、yaraiの誕生にまつわるエピソードである。このソフト開発の技術面については、次回お話したい。
2/2 |
Index | |
限界を迎えつつある「パターンマッチング」という手法 | |
Page1 これは「日本でもできる」を示したエンジニアの物語 金居良治――セキュリティを研究し続けてきた男 |
|
Page2 「脆弱性対策にウイルス対策も含めるべきではないか」 ノウハウの蓄積は“あちら側”にも |
Profile |
鵜飼裕司(うかい ゆうじ) 株式会社フォティーンフォティ技術研究所 代表取締役社長 Kodak研究開発センターにてデジタルイメージングデバイスの研究開発に従事した後、2003年米国eEye Digital Securityに入社。セキュリティ脆弱性分析や脆弱性診断技術、組み込みシステムのセキュリティ脅威分析等に関する研究開発などに従事。 2007年7月に帰国し、株式会社フォティーンフォティ技術研究所を設立。最高技術責任者に就任。セキュリティ脆弱性分析・対策、組み込みシステムセキュリティ、マルウエア対策、P2Pシステムセキュリティなどに関する研究開発に従事。2009年4月、株式会社フォティーンフォティ技術研究所の代表取締役社長に就任。 |
Profile |
金居良治(かない りょうじ) 株式会社フォティーンフォティ技術研究所 取締役 最高技術責任者 Dream Train Internet(DTI)にて認証システムの設計開発やシステム運用な どに従事した後、米国 eEyeDigital Security 社に入社。ネットワークセキュリティ脆弱性スキャナの研究開発部門にて、エンジンコア研究開発、エンタープライズ機能の設計開発などに従事。また、PtoP システムセキュリティ、組み込みシステムセキュリティ、セキュリティ脆弱性解析などさまざまな研究にも従事。 2007年7月に帰国し、株式会社フォティーンフォティ技術研究所を設立。取締役技術担当に就任。2009年4月、取締役最高技術責任者に就任。 |
セキュリティを形にする日本のエンジニアたち 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|