Insightを活用したダウンロードインサイト
シマンテックのシステムエンジニアである藤田平氏によると、InsightはSEP12のさまざまな部分で活用されているという。
まず、「ダウンロードインサイト」は定義ファイルで検知できなかった実行ファイルに対して、レピュテーションを行ない、ユーザーに警告を行なう機能。まさに前述したInsightの適用例だ。
具体的には定義ファイルによる精査を終えたのち、ローカルのレピュテーションデータベースと照らし合わせ、そこで見つからなければ、シマンテックのデータベースに問い合わせをかける。ここから評価の情報を得て、不正なファイルはユーザーが実行する前に削除させる。対象はMSI、EXE、OCX、SYS、DRV、DLL等のファイル。それ以外のファイルはIPSなど別の技術で検知される。
ダウンロードインサイトを用いれば、ドライブバイダウンロードに対しても、警告が出る。たとえば、ファイルの入手先や登場からの機関、証明書の有無、利用しているユーザー数などとリスクが明示されるので、ユーザーは意図しないファイルのダウンロードを避けることができる。
Insight導入でパフォーマンスも向上
また、Insightはパフォーマンス向上にも貢献している。Insightでは、アプリケーションの危険度だけではなく、安全度についても格付けを行なう。これがなぜパフォーマンスに貢献するかというと、信頼できるファイルをスキャンしないで済むからだ。
従来のスキャンは、いったんスキャンしたファイル情報をキャッシュすることで、パフォーマンスを強化してきた。しかし、その時点での定義ファイルに含まれている不正プログラムしか検知できないため、この方法では最新の脅威への対応に不安がある。とはいえ、定義ファイルが更新され、キャッシュを削除されると、再度イチからスキャンし直さなければならなくなる。
その点、SEP12ではInsightを用いて、あらかじめ信頼できるファイルをリストアップすることが可能になったため、検索対象から除外できる。「ブラックリストの更新はすでに限界になりつつあるので、ホワイトリストの精度を上げるという方向性を考えました」(藤田氏)という。一般的なシステムにおいては、約80%のアプリケーションの検索除外が可能になるという。方法としては、バイナリファイルからハッシュ値を生成し、データベースと比較し、このハッシュが信頼できるかを確認する。
このほかSEP12ではタスク実行時の負荷の軽減も図られており、アプリケーションに最適なパフォーマンスが追加されたほか、スキャンアイドル状態になるまでLive Updateによる定義ファイルの更新を延期することが可能になった。Insightによる検出対象の除去とあわせ、マルウェアの増加でスキャン時間がうなぎ登りという事態を解消できると期待される。
とはいえ、Insightも万能というわけではない。正しいファイルを誤検知してしまうことで、利用制限につながるブラックリストの限界は明らかだが、ホワイトリストでも誤検知で脅威がすり抜けるとセキュリティリスクの増大につながる。これに対してSEP12では、Insightのホワイトリストをすり抜けて侵入してきた脅威に対しても、SONARによるふるまい検知で防ぐという。
SEP12では、その他仮想化対応についても強化されており、これについては後日の技術説明会でより詳細に説明されるという。