1.5秒に1つ不正プログラムが誕生する時代にどう立ち向かう?
脅威に対してセキュリティ技術は進化したのか?
2010年05月24日 09時00分更新
ウイルス検索以外の機能
各セキュリティベンダーから提供されている現在のウイルス対策ソフトは、「ウイルス対策」と呼称しつつも、多くのセキュリティ機能を搭載した「セキュリティスイート」になっている。前回解説した通り、脅威がより巧妙かつ複雑になるにつれ、以下のようなさまざまな対策手段を施さないと対抗できなくなってきているのである。
ファイアウォール
ネットワーク経由の攻撃を防ぐための基本的な機能がファイアウォールだ。元々はインターネットと社内ネットワークを結ぶゲートウェイに設置して内部ネットワークを守るための装置だが、後にPCを保護するためにそのPCにインストールするタイプのファイアウォール(パーソナルファイアウォール、クライアントファイアウォール)が登場している。これらは、
- ポート
- プロトコル
- IPアドレスレンジ
- サービス
- アプリケーション
などを指定してポリシーを組み立て、それに反する通信を遮断する。一般的には、PCにインストールされた時点で使用しているアプリケーションやサービスを把握し、それに合わせたポリシーが自動的に適用されることになる。
IDS/IPS
IDS(Intrusion Detection System)とIPS(Intrusion Prevention System)はネットワークを経由した攻撃に対するもう1つの防御手法だ。データの中身を解析して、サービス拒否攻撃(DoS)や脆弱性に対する攻撃など、ネットワークを経由した攻撃を検出するものである。IDSでは侵入を検知した際にそれを何らかの形で警告するのみとなるが、IPSは攻撃を検知した際にその通信を遮断することによってシステムを守る。
挙動監視(ふるまい検知、HIPS)
新たに登場する脅威に対する対策手段として、ここ数年注目を集める技術の1つに挙動監視がある。ふるまい検知またはHIPS(Host Intrusion Prevention System、ホスト型侵入防御システム)とも呼ばれ、プログラムがシステム上で行なう挙動を見て悪意があるかどうかを判断する。バッファーオーバーフローなどを利用した攻撃に対する対策として使われる。
挙動監視はあくまで「疑わしい動作」にのみ注目しているため、新しい脅威が登場しても対処できるというメリットがある。反面、システム管理者がブロックするべき挙動のルールを作りこまない限りは効力を発揮しないため、導入/運用が難しい。また誤検知が多く発生するおそれがあり、そのたびにルールのチューニングを行なうか、それを回避するためにルールを事前に細かく作りこむ必要がある。
アプリケーションホワイトリスト
アプリケーションホワイトリスト(アプリケーションコントロールとも)は、正規のアプリケーションに関する情報を元に、登録されているものを許可し、それ以外の実行を阻止する。パターンマッチングが危険なプログラムを登録するブラックリスト方式なのに対して、安全なアプリケーションに関する情報を使用することからホワイトリスト方式と呼ばれる。
アプリケーションホワイトリストは、データベースに登録されている正規のアプリケーションを許可し、それ以外のアプリケーションの実行を許可しないというセキュリティモデルだ。このため、データベースに登録したアプリケーションの数や精度が鍵になる。システムへの変更が少ない環境に適しており、ダイナミックなIT環境には有効なソリューションではない。
レピュテーション
ここ最近注目を集めているセキュリティ技術がレピュテーション(Reputation)だ。レピュテーションはWebサイト、IPアドレス、プログラムファイルなどをそれぞれ評価し、それらの「評価」からブロックするべきかどうかが決まる。不正なWebサイトへのアクセスをブロックするWebレピュテーション、不正なメールサーバからのメール送信をブロックするE-mailレピュテーション、そして不正なファイルへのアクセスをブロックするファイルレピュテーションの3つがある。
機能 | 概要 |
---|---|
ファイアウォール | ネットワークを経由した攻撃に対する対策手法。明示的に許可された通信のみを許可し、それ以外を拒否する |
IDS/IDP | ネットワークを経由した攻撃に対する対策手法。通信パケットの中身を解析し、悪意ある通信であるかを判断する。IDSは不正な通信を警告するのみだが、IPSは通信の遮断も行なう |
挙動監視 (ふるまい検知、HIPS) | システム上で実行されるプログラムの動作を監視し、悪意ある挙動と判断した場合は実行を阻止する |
アプリケーションホワイトリスト アプリケーションコントロール | 事前に登録したアプリケーションのみ実行を許可し、それ以外の実行を阻止する |
レピュテーション | WebサイトやIPアドレス、プログラムファイルなどを評価し、その「格付け」をもとにブロックするかどうかを決める |
次回は、ウイルス対策ソフトの「検出率」を取り上げる。どのようなテストから検出率が生み出されるのか、ウイルスが大きく変化する状況下において、そもそも検出率がウイルス対策ソフトの性能を評価する上での指標となりうるのかなどを解説しよう。
この連載の記事
-
第28回
TECH
いつの間にか、あなたもネット犯罪者? -
第27回
TECH
ゲームのアイテムを日本円に替えるRMTにまつわる危険とは? -
第26回
TECH
身代金要求からワンクリック詐欺、犯罪ツールには要注意 -
第25回
TECH
われわれの身近に存在するアンダーグラウンドマーケット -
第24回
TECH
オフライン端末への脅威は、こうすれば防げる! -
第23回
TECH
オフライン端末へのウイルス対策5ケースとつきまとう欠点 -
第22回
TECH
ダウンアドが院内感染!オフライン端末の被害事例とは? -
第21回
TECH
市販のUSBメモリにウイルスが混入する理由とは? -
第20回
TECH
仮想アプライアンスのここがメリット! -
第19回
TECH
セキュリティには仮想アプライアンスという選択肢を -
第18回
TECH
ウイルスバスター2011 クラウドに搭載された3つの新機能 - この連載の一覧へ