SPNをプロアクティブな防御の「核」に
トレンドマイクロがクラウド基盤を強化、攻撃の背後を可視化
2012/08/07
トレンドマイクロは8月7日、脅威の情報を提供するクラウドベースの技術基盤「Trend Micro Smart Protection Network(SPN)」の機能拡張を発表した。これまでもクラウドベースのレピュテーションデータベースを提供していたが、さらに幅広い情報を収集し、「ビッグデータ」に分析を加えることで、「より迅速で、より強力な保護を提供する」(トレンドマイクロ 代表取締役社長兼CEO エバ・チェン氏)という。
トレンドマイクロが初めてSPNを発表したのは2008年のことだ。当時、同社製品も含めほとんどのウイルス対策製品は、シグネチャ(パターンファイル)に基づいてマルウェアを検出する方式を採用していた。
しかし、亜種が登場するたびにシグネチャを追加していくと、クライアントPCの負荷がどんどん高まってしまう。一方で、更新を繰り返してもなお、シグネチャをダウンロードし、適用するまでの間は、ゼロデイ攻撃も含めた最新の脅威に対して無防備になってしまうという課題も残っていた。
こうした課題を踏まえ、脅威情報のデータベースをクラウド側に置き、適宜それを参照することで、クライアントの負荷軽減と最新の脅威からの保護を両立させようとしたのが「レピュテーション」技術だ。SPNもその一種と位置付けることができる。ただ、より幅広い情報を分析対象とし、同社のさまざまな製品やサービスで利用できること、クライアントへの負荷が非常に少なくてすむことなどが、ほかにはない特徴だという。
トレンドマイクロは当初、メールとWeb、ファイルに関するレピュテーションデータベースを構築。それぞれの情報に相関分析を加え、「複合型の脅威」「Webからの脅威」に対策できるようにしてきた。例えば、スパムメールに含まれるURLに加え、リンク先である悪意あるサイトからダウンロードされるファイルを分析してブロックすることで、シグネチャが準備できる前でも、マルウェアへの感染を防ぐ仕組みだ。
今回の機能拡張ではさらに、モバイルアプリのレピュテーション情報や脆弱性に関する情報、ネットワークトラフィックに関する情報も収集し、統合して分析できるようにする。また、「サイバークリミナルリサーチ」で得た攻撃者が利用するツールや手法についての情報も活用し、一見関係ないように見える攻撃の背後にどういった集団がおり、どんなインフラを利用しているのかという全体像を把握できるようにしていくという。
同時に、既存のレピュテーション技術も強化。ファイルレピュテーションについては、ファイルの普及状況や地理的な情報、時期などからも評価を加える「コミュニティフィードバック」機能を追加する。Webレピュテーションには、これまでのクローリングに加え、サンドボックスやエミュレータを用いた「ライブアナリシス」機能によって、さらに迅速に評価を下せるようにしていく。
この日開催されたイベント「Direction 2012」の基調講演でチェン氏は、現在われわれは「コンシューマライゼーション」「仮想化とクラウド」「サイバー脅威の増加」という3つのトレンドに取り囲まれていると指摘。特に、過去のシンプルなウイルスから、洗練された標的型攻撃に変化している脅威からの保護を図る上で核となるインフラがSPNだと述べている。
「孫子の兵法には『敵を知り己を知らば百戦危うからず』とある。同じように、攻撃者のネットワークも含め、さまざまな情報を収集してリアルタイムに相関分析を加えることで、脅威がやってくる前にプロアクティブに阻止できる」(チェン氏)。
関連リンク
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。