評価データベースの連携で迅速な検出も
マルウェア検査をクラウド上で、トレンドマイクロ
2008/11/12
トレンドマイクロは11月12日、新しいセキュリティ技術基盤「Trend Micro Smart Protection Network」を発表した。従来はローカルPC側で行っていたウイルスのパターンマッチング作業の多くを、トレンドマイクロが提供するクラウドサービスと軽量クライアントを組み合わせて実施することで、検出の精度向上と処理負荷の軽減を狙う。2009年以降リリース予定の企業向け/個人向け製品の両方に順次適用される計画だ。
従来のウイルス検出では、パターンファイルをすべてクライアントPCに取り込んでからマッチングを行っていた。これに対しTrend Micro Smart Protection Networkでは、Webサイトからダウンロードしたり、メールに添付されてきたファイルのハッシュ値を取得して、インターネットを介してトレンドマイクロのクラウドサービス上に送り、そこで不正プログラムかどうかの検査を実施する。ヒューリスティック型など一部のものは引き続きクライアント側で検索を行うが、Trend Micro Smart Protection Networkでは、全体の約75%がクラウド上で実施される見込みという。この結果、これまでと比べてクライアントに掛かる負荷が少なくてすむようになる。
また、セキュリティ対策の基本である「パターンファイルのアップデート」に注意を払わなくとも、クラウド側で常に最新のパターンファイルに基づいて検査を実施できる。これにより、運用管理の負担も軽減されるという。
クラウドを活用するアーキテクチャからは、別のメリットも生まれる。多くのユーザーから寄せられた情報を集約し、新たな脅威に迅速に対応できることだ。トレンドマイクロでは、ユーザーから寄せられたハッシュ値の情報をデータベース化し、「ファイルレピュテーション」として活用することにより、当該ファイルがマルウェアか否かを正確に把握できるようにしていく。
同社はこれまで、複数の観点からWebサイトの安全性を評価する「Webレピュテーション」、電子メールの送信元IPアドレスを評価付けする「E-mailレピュテーション」を提供してきた。Trend Micro Smart Protection Networkでは、これらにファイルレピュテーションを組み合わせ、3つのデータベースに格納された情報を関連付けながら分析することで、増加している「Webからの脅威」に対処するという。
Webからの脅威は、まずユーザーに大量にスパムメールが送り付けられることから始まる。スパムメールにはURLが記されており、このリンクをクリックすると悪意あるWebサイトに誘導され、不正プログラムがダウンロードされる。そして1つの不正プログラムがさらに別の不正プログラムを次々にダウンロードしていく。
これに対しTrend Micro Smart Protection Networkでは、3つのデータベースに情報を格納し、付き合わせながら対応する。あるマルウェアを検出したら、それが配布されたWebサイトや情報送信先となるWebサイトへのアクセスをブロックするなどして、予防的な防御を可能にするという。
「従来のコンテンツセキュリティは、脅威が検出されてからパターンファイルが有効になるまでに非常に長い時間が掛かっていた。これに対しクラウド-クライアントアーキテクチャでは、バックエンドで行う相関分析によってゼロデイ、あるいはゼロ秒の脅威にも対処できる」(トレンドマイクロの代表取締役社長兼CEO、エバ・チェン氏)。インターネットを介してベンダ側のデータベースにアクセスし、迅速な検出を可能にするテクノロジは他社も提供しているが、複数のレピュテーション情報を相関付けて分析するのは同社のユニークな技術だという。
トレンドマイクロではファイルレピュテーションサービスを2009年3月より本格運用する計画だ。また2009年以降リリースされる製品には、Trend Micro Smart Protection Networkが順次適用されるという。具体的には、法人向けのゲートウェイセキュリティ製品「InterScan」シリーズや情報漏洩対策アプライアンス「LeakProof」、検疫システムの「Network VirusWall Enforcer」がロードマップに載っているほか、個人向けウイルス対策製品「ウイルスバスター」でも対応する予定。
関連リンク
関連記事
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。