新しい脅威に対するシマンテックの解答
 |
|---|
| Symantec Endpoint Protection 11.0 |
インターネット脅威のプロ化による悪意あるソフトウェアの複雑化/多様化に対してシマンテックが採った対応策は、優秀な技術を持つ企業を買収し、その技術をもってアンチウイルス製品を構築するというものだ。
そこでできあがったのが、「Symantec Endpoint Protection 11.0」(以下 SEP)である。この製品は、パターンファイルの配布だけでは防げない、統合的なエンドポイントの防御技術が投入されているが、中には銃らはセキュリティとは直接関係のない技術から転用されたものもある。まずは、SEPに使われた企業3社の技術を見ていこう。
その1 ステルス化する脅威対策 独自ディスクアクセス技術によるスキャン
|
|---|
| ボリュームマネジメントの仕組み。OSとディスクの間に配置されることで、ルートキットなどOSでは見つけられない潜伏した脅威を検知する |
まずは2005年に買収したベリタスソフトウェア。彼らはもともと、バックアップソフトウェア製品を得意とする企業なのだが、その技術がセキュリティ対策にも役立っている。先ほど例に挙げたルートキットなどの、誰からも見えないソフトウェアの検知がそれだ。少し細かい話だが、“見えない”脅威が何故起きるかという話に関連する。ユーザーやプログラムがファイルを一覧する場合、Windows=OSに「ファイル一覧を出してくれ」と頼むのだが、ルートキットなどは、OSがリストを返す際に改ざんして返してくる。つまりOSに頼る限り、これら隠蔽工作は見抜けない。
ところがベリタスソフトウェアは、“ボリュームマネジメント”といって、OSの下で、ディスク上の物理的なアドレスを管理する仕組みを持っている。本来はUNIX系OSやWindowsなど複数のOSから単一のストレージを使うためのディスク管理の技術で、OSのファイルシステムとディスク上のデータを結びつける技術だったのだが、OSに頼らずディスクを管理するこの技術を応用すれば、ルートキットを見つけるのにも有効だ。
さらに悪意のあるソフトウェアは、見つけたあとに削除出来るかどうかも問題になるが、こちらも同様の理由から、ボリュームマネジメント技術が有効になる。SEPのハードディスク管理機能は、ストレージ専門企業しか持っていない技術が使われているのである。
その2 新種のセキュリティリスク対策 プロセス挙動分析型スキャン
次は2005年に買収したホールセキュリティの技術だ。従来のセキュリティ対策ソフトのやり方は、「これが怪しい」というファイル=検体を解析してウイルス定義ファイルを作り配布するのだが、前述したとおりこれでは急激に多様化する脅威に対抗するにはいささか時間がかかってしまう。これには、ホールセキュリティの持っている“行動分析型スキャンエンジン”が、役に立つ。
情報を盗み出そうというプログラムは、当然ながら怪しい動きをする。キーストロークを盗もうとしたり、画面キャプチャを撮って、外部にそれを送る。こうした、ソフトウェアの“行動”そのものを細かく分析し、スパイウェアかどうかを見極めるのが、同社の技術である。コードの分析ではなく挙動を分析することで、従来のパターン分析に拠らないセキュリティ対策が可能になる。もちろんそのプログラムが怪しければ、プロセスを停止する。
とはいえ、行動分析というのは想像すれば分かるが結構難しい。分析の仕方によっては正しいソフトウェアも悪と見なして停止し、業務を妨害することにもなりかねない。誤検知をいかに減らすか? もホールセキュリティの技術で重要な部分だ。これには、1つの挙動に対して、140項目の重み付けで対処している。この技術はすでにコンシューマ製品に使われているが、そこから吸い上げた情報も、SEPには活用されている。
その3 管理者による各PCの設定、動作統制
最後に紹介するのがサイゲートだ。これは、企業内の端末に対してホワイトリストを適用し、それ以外のソフトウェアの実行を制限するというもの。当然怪しいプログラムが入ってきても、動作や通信が不可能になり安全だ。
特定の目的でしか使えない、「セキュアOS」という考え方があるが、サイゲートから、そうした技術が提供されているのだ。たとえばデバイス制御、アプリケーション制度のほか、光ディスクに関しては読み出ししか許可しないなど、PCをそのように限定的に使う技術をサイゲートは持っており、SEPはそれを盛り込んで端末を管理者側でコントロールする。
SEPは、従来は「Symantec AntiVirus Corporate Edition」と呼ばれていた企業向けのセキュリティソフトブランドの最新版だ。今まで慣れ親しんできたブランドのほうが市場への浸透度が高いのに、シマンテックは敢えて別の名前を付けてきた。この、「Endpoint」という名前にしたのは、企業の情報端末のエンドポイントへの、全ての脅威をプロテクションしようという意図からだ。
とはいえ、実は企業のセキュリティはSEPだけでは解決し得ない問題も孕んでいる。その一番の要因が“人間”だ。たとえば、ユーザーが勝手にSEPを終了させてしまえば、元も子もない。次回は、企業のPC運用ルールを自動的に実行する、「Symantec Network Access Control」を紹介する。
次ページ「オンラインで楽に法人購入可能なシマンテックのビジネスストア」に続く
