販売パートナーさまへ

導入をご希望の
お客さまはこちら

Symantec Sales Center
シマンテックセールスセンター
SB C&Sがシマンテック製品のご購入を支援します

第2回:巧妙かつ膨大な脅威に対抗するための「秘策」〜「多層防御」でセキュリティ強化〜[SEP 14おすすめ機能シリーズ]

sep02-pict2.jpg

※本記事は「Symantec Endpoint Protection 14」に搭載された新機能 ~テクノロジーの裏側に迫る~(全6回)の第2回です。

前回の記事でもご紹介したとおり、この10年ほどで、私たちを取り巻くサイバーセキュリティの脅威は、数、質ともに大きく変化しました。スキルが高くない犯罪者でも簡単に利用できる攻撃用のツールキットや、ウェブから利用できるマルウェア作成のSaaS型サービスの登場により、かつては1年、あるいは数カ月かけて登場していたのと同じ数のマルウェアが、たった1日で作られ、流通しています。

ユーザーをだまして実行させるタイプのマルウェアだけでなく、OSやWebブラウザ、プラグインの脆弱性を悪用して不正なコードを実行し、PCを制御してしまうマルウェアも増えており、単一の防御策だけでは防ぎきれないことは周知の事実と言えるでしょう。

そこで今回は、攻撃する側の手口を踏まえ、PCを守る側がどのように対策を発展させてきたかをご紹介します。

定義ファイルに頼る「アンチウイルス」の限界

ウイルスからPCを守るための防具といえば、「アンチウイルスソフトウェア」と答える方が多いことでしょう。アンチウイルスソフトウェアの歴史は長らく、「パターンファイル(定義ファイル)」を作成する歴史でもありました。

定義ファイルに基づく検知はしばしば、「指名手配」に例えられます。ウイルスやワームなど、悪意あるソフトウェアの特徴を記した定義ファイルを作成して各端末に配布し、疑わしいファイルと照らし合わせ、「クロ」か「シロ」かを判別するやり方です。残念ながら「指名手配犯」は次々に現れますから、最新の手配書、つまり最新の定義ファイルへのアップデートが欠かせません。

マルウェアの数が(比較的)多くなかった時代は、それでも対応が可能でした。しかし前述のように、今や1日で100万を超える新種、亜種のマルウェアが登場するようになり、これまでのやり方は限界に直面しています。

理由の1つは、マルウェアが登場するスピードに定義ファイル作成のスピードが追いつけないことです。マルウェアの解析作業のうち自動化できる部分は増えていますが、それでも解析などで数時間単位の時間がかかることもあります。次から次へと登場するマルウェアを収集し、解析し、定義ファイルを作成した頃には、すでに何十万、何百万といった新たなマルウェアが登場しているのです。

その上、検出すべき指名手配犯が増えれば、手配書自体も当然分厚くなります。つまり、最新のマルウェアを見つけるには最新の定義ファイルが必要ですが、サイズがどうしても大きくならざるを得ず、PCのパフォーマンスに影響を与えるおそれがあります。もちろん、ある程度似た特徴を持ったマルウェアを「ファミリー」としてまとめ、効率的に検出する手法も採用されていますが、圧倒的な量の前には焼け石に水、という状態です。

もう1つは質的な変化です。十数年前に登場したワームは、たった1種類で世界中の何十万台というPCに影響を与えました。被害を受けたパソコンからは、すべて同じプログラミングコードのマルウェアが検出されたのです。しかし最近では、1種類のマルウェアが多数のPCに感染することは稀です。特定の組織や企業、時には特定の個人に狙いを絞ってカスタマイズし、プログラミングコードが少しずつ異なる「たった1つのマルウェア」を用い、検知の網をかいくぐる手法が珍しくなくなってきています。ほんの数台にしか感染しないのですから、手配書作りの元となる検体の収集そのものも難しく、必然的に、定義ファイル作成も困難を極めることになります。

20170630_01.jpg

複数の検出技術やクラウドを活用した多層防御を実現、パフォーマンスとも両立

そんな背景を踏まえ、2014年にはシマンテックの幹部が「アンチウイルスソフトは死んだ」と発言し、業界でも話題になりました。

従来からの定義ファイルに頼る方法では全ての脅威を見つけ出すことが困難になってきています。だからこそ、エンドポイントの保護において、ひとつの技術に依存するのではなく、複数の保護技術を活用するセキュリティ対策へのシフトが求められます。

アンチウイルスは、解析済みの既知の脅威を短時間で確実に検出するのに有効な技術であるのも事実。捨て去るのはいいアイデアとは言えません。とはいえ、従来からの定義ファイルだけに頼る方式だけでは、すべての脅威を見つけ出すことが困難になりつつあります。先の発言の真意はそういった背景から「さまざまな対策を組み合わせた『多層防御』が必要」ということにあったのです。

シマンテックでは、時代の変化をいち早く察知し、以前よりエンドポイントセキュリティ製品に「多層防御」の考え方を取り入れてきました。「シマンテック アンチウイルス コーポレートエディション」としてきた企業向け製品の名称を改め、「Symantec Endpoint Protection(SEP)」としたのも、その表れです。

2007年にリリースされた最初のSEP 11では、「ウイルス対策以外も必要という考えに基づき、ファイアウォールや不正侵入防止(IPS)、脆弱性対策といった機能を追加しました」と、シマンテックのプリンシパルセールスエンジニア、世羅英彦(セールスエンジニアリング本部 パートナーSE部)は振り返ります。

この頃からサイバー犯罪の質は大きく変化し、「いたずら」目的から、機密情報や金銭を狙う「本気」の攻撃が増加してきました。サイバー犯罪者の組織化も進み、マルウェアの増加傾向が顕著になります。

そこで2011年に登場したSEP 12.1では、振る舞い検知など、定義ファイルに頼らない検出機能を強化しました。具体的には、実行中のファイルの挙動をリアルタイムに解析して悪意のあるファイルを検出するというものです。また、PCのより深い部分に潜り込んで検出ソフトのスキャンを逃れようとする「ルートキット」と呼ばれるマルウェアへの対策も強化しました。

振る舞い検知機能には、定義ファイルの肥大化を避け、パフォーマンスを向上させるメリットもあります。SEP 12.1ではさらに、レピュテーション技術「Insight」も搭載してスキャンの負荷を減らしました。

Insightは、シマンテックの既存ユーザーや世界中に張り巡らせた観測網で収集した情報を基に、クラウド上に脅威情報データベースを構築し、それを参照することで、クロともシロともつかないグレーなファイルを評価する仕組みです。手元のSEPに全ての定義ファイルを持たずとも、より少ない負荷で脅威を見つけ出すことができます。

「しかしそれでも、全ての亜種を見つけ出すには限界が残ります。そこで最新のSEP 14では、さまざまな機能強化を盛り込みましたが、そのひとつが「機械学習エンジン」です。シマンテックが構築している脅威情報データベースから抽出した良質なサンプルを用いて機械学習エンジンを学習させ、旧来のパターンマッチングでは見つけにくい脅威を検出します」(世羅氏)

20170630_02.jpg

ブルーコートシステムズの買収にともなって脅威情報データベースを拡充させる一方で、効率的にデータを活用することで、フルサイズの定義ファイルは40%、日々配信される差分の定義ファイルは70%も軽量化しています。

「定義ファイルの量は運用の負荷に関わってきますが、そこの部分を軽量化しました。SEPの開発に当たっては、パフォーマンスのデグレーションを起こさない形で進めています。また、機能を追加しても新たなエージェントを追加する必要はないので、運用負荷は変わらず、操作時の『軽さ』も変わりません」(世羅氏)。既にお使いの環境であれば、上書きするだけで簡単にインストールできることも特徴です。

このように、セキュリティの強化を図りつつシステムリソースの負荷も減らすという相反する要求を、SEP 14は両立させているのです。

とはいえ、各社が年々バージョンアップし、機能追加が続くエンドポイントセキュリティ製品。最近では、SEP 14と同様に「機械学習」を採用した対策ソフトが他にも登場しています。いったいどこがどのように違うのか、次の回でご説明しましょう。

お問い合わせ

シマンテック製品の購入、販売・ライセンス更新に関する
お問い合わせをお受け付けしております。

シマンテック製品の販売をご検討のお客さま
・販売パートナーさまはこちら

販売パートナー様
お問い合わせ窓口

自社への導入をご検討のお客さまはこちら

お見積り・
ご購入はこちら

製品に関するお問い合わせはこちら

購入前の技術的なお問い合わせ

TEL:03-4540-6410

受付時間 10:00~12:00 13:00~17:00
(土、日、祝日、年末年始を除く)

購入後の技術的なお問い合わせ

各製品資料ダウンロード

製品カタログや、お客様へのご提案に
活用いただける資料をダウンロードいただけます。