Tweet

SPNをプロアクティブな防御の「核」に

トレンドマイクロがクラウド基盤を強化、攻撃の背後を可視化

2012/08/07

　トレンドマイクロは8月7日、脅威の情報を提供するクラウドベースの技術基盤「Trend Micro Smart Protection Network（SPN）」の機能拡張を発表した。これまでもクラウドベースのレピュテーションデータベースを提供していたが、さらに幅広い情報を収集し、「ビッグデータ」に分析を加えることで、「より迅速で、より強力な保護を提供する」（トレンドマイクロ 代表取締役社長兼CEO エバ・チェン氏）という。

　トレンドマイクロが初めてSPNを発表したのは2008年のことだ。当時、同社製品も含めほとんどのウイルス対策製品は、シグネチャ（パターンファイル）に基づいてマルウェアを検出する方式を採用していた。

　しかし、亜種が登場するたびにシグネチャを追加していくと、クライアントPCの負荷がどんどん高まってしまう。一方で、更新を繰り返してもなお、シグネチャをダウンロードし、適用するまでの間は、ゼロデイ攻撃も含めた最新の脅威に対して無防備になってしまうという課題も残っていた。

　こうした課題を踏まえ、脅威情報のデータベースをクラウド側に置き、適宜それを参照することで、クライアントの負荷軽減と最新の脅威からの保護を両立させようとしたのが「レピュテーション」技術だ。SPNもその一種と位置付けることができる。ただ、より幅広い情報を分析対象とし、同社のさまざまな製品やサービスで利用できること、クライアントへの負荷が非常に少なくてすむことなどが、ほかにはない特徴だという。

トレンドマイクロ 代表取締役社長兼CEO エバ・チェン氏

　トレンドマイクロは当初、メールとWeb、ファイルに関するレピュテーションデータベースを構築。それぞれの情報に相関分析を加え、「複合型の脅威」「Webからの脅威」に対策できるようにしてきた。例えば、スパムメールに含まれるURLに加え、リンク先である悪意あるサイトからダウンロードされるファイルを分析してブロックすることで、シグネチャが準備できる前でも、マルウェアへの感染を防ぐ仕組みだ。

　今回の機能拡張ではさらに、モバイルアプリのレピュテーション情報や脆弱性に関する情報、ネットワークトラフィックに関する情報も収集し、統合して分析できるようにする。また、「サイバークリミナルリサーチ」で得た攻撃者が利用するツールや手法についての情報も活用し、一見関係ないように見える攻撃の背後にどういった集団がおり、どんなインフラを利用しているのかという全体像を把握できるようにしていくという。

　同時に、既存のレピュテーション技術も強化。ファイルレピュテーションについては、ファイルの普及状況や地理的な情報、時期などからも評価を加える「コミュニティフィードバック」機能を追加する。Webレピュテーションには、これまでのクローリングに加え、サンドボックスやエミュレータを用いた「ライブアナリシス」機能によって、さらに迅速に評価を下せるようにしていく。

　この日開催されたイベント「Direction 2012」の基調講演でチェン氏は、現在われわれは「コンシューマライゼーション」「仮想化とクラウド」「サイバー脅威の増加」という3つのトレンドに取り囲まれていると指摘。特に、過去のシンプルなウイルスから、洗練された標的型攻撃に変化している脅威からの保護を図る上で核となるインフラがSPNだと述べている。

　「孫子の兵法には『敵を知り己を知らば百戦危うからず』とある。同じように、攻撃者のネットワークも含め、さまざまな情報を収集してリアルタイムに相関分析を加えることで、脅威がやってくる前にプロアクティブに阻止できる」（チェン氏）。