Kaspersky Internet Security 2010の強みとは？

差別化ポイントはきめ細かな実行制限、カスペルスキーCTO

2010/01/31

　クライアントにインストールするアンチウイルスソフトのトレンドとして、ここ1、2年はバイナリのハッシュ値をクラウド側で集約し、安全が確認されているホワイトリスト、マルウェアが認められたブラックリストという風に分類する手法が一般化している。個別にバイナリをスキャンすると時間がかかるが、ハッシュ値による照合なら短時間で終わる。ユーザーがダウンロードしたファイルが安全かどうかはたいていの場合、瞬時に判断が付く。

カスペルスキー研究所の最高技術責任者（CTO）のニコライ・グレベンニコフ氏

　ただ、こうしたシステムでも、単純なホワイトリスト、ブラックリストによる分類は十分ではない。そう主張するのは、カスペルスキー研究所の最高技術責任者（CTO）のニコライ・グレベンニコフ氏だ。

　同社のアンチウイルスソフトの最新版「Kaspersky Internet Security 2010」では、アプリケーションを4段階のレベルに分類。信頼度に応じてアプリケーションの動作を制限できる「アプリケーションコントロール機能」が他社との差別化ポイントだという。

　未知のバイナリに対しては個別に危険度を見積り、それに応じたポリシーを適応する。カスペルスキー社内では、バイナリエミュレーションを行う環境を用意していて、この環境を使ってアプリケーションを分類。エンドユーザー環境で実行するときに適用されるポリシーや制限を決定しているという。「例えばシステム関連のディレクトリにファイルを書き出すようなら5％、スクリーンショットを取ろうとしたら5％というように評価して危険度を計算する」（グレベンニコフ氏）という。この評価に基づいて、アプリケーションの実行自体は可能でも、ローレベルのドライバを導入するなど危険な操作を禁じることができるという。「プラグインのコーデックなどが典型だが、こうしたソフトウェアはドライバのインストールは不要なはずだ。コーデックに分類されているソフトウェアに関して、われわれはこれを禁じるポリシーを適用できる」（グレベンニコフ氏）。信頼度の高いアプリケーションでは、稼働時の監視レベルも低くしてポップアップの回数を少なくするなどきめ細かい制御を行うという。

　同様の仕組みは、大手ベンダが提供する「ホワイトバイナリ」（安全性が確認できた実行ファイル）でも有用という。「ゼロデイ攻撃は起こり得る。例えばIEに脆弱性があった場合、その脆弱性が悪用できないポリシーをわれわれの方から適用できる」（グレベンニコフ氏）。これにより、マイクロソフトがパッチをリリースするまでの間もセキュリティが保たれるのだという。すべての脆弱性が悪用可能なわけではなく、専門家の分析に基づいたポリシーを提供することで過度に制限しないこともKasperskyの強みだという。

　クライアント側の新機能としてKaspersky 2010には、実行環境を隔離するサンドボックスがある。「Windows 7にも似た機能があるが、保護対象はWindowsのシステムだけ。Kasperskyはシステム全体を対象としている」（グレベンニコフ氏）。実行に不安のあるバイナリがあれば、このサンドボックスで走らせて様子を見ることができる。このとき不具合や不審な挙動が認められれば、単純に再起動することで完全に影響をゼロに戻すことができるのだという。