既存のアンチウイルスの限界を解消した新タイプのセキュリティ製品
APIに注目した「Defense Platform」の誤検知ゼロは本当か?
2014年08月05日 06時00分更新
ハミングヘッズの「Defense Platform」はAPIを捕捉することで、ウイルスの挙動を検知するセキュリティ製品。「100%の検出率、誤検知ゼロ」を謳う製品の技術的な背景について同社に聞いた。
ウイルスの動きや攻撃をAPIで捕捉する
急激に増え続けるウイルスを検知するのに、既存のアンチウイルスソフトでは限界が生じている。シグネチャに登録されていないがためにウイルスの通過を見逃したり、ふるまい型検知の精度が高くないため、正常な通信を攻撃と誤検知するといった事態が増えている。こうした課題に対応すべく、パターンマッチングやふるまい検知を用いず、ウイルスや攻撃を検知するのが、ハミングヘッズのDefense Platformだ。
ハミングヘッズ 販売・システム・マーケティング コンサルタント 石津広也氏、営業本部 営業部 部長 松岡義明氏
Defense Platformでは、すべてのプログラムが利用するAPIに着目。ウイルスによる攻撃の被害が出る前に、PC内の入口・出口、ファイル、レジストリ、外部メディア、通信、メモリなどといったPCの守るべき箇所を漏れなくする。ハミングヘッズのゼネラルマネージャーの松岡義明氏は「悪さをする前に現行犯逮捕するイメージ。APIをチェックするので、暗号化やパスワードで保護されたファイルは検査できないという課題もクリアできます」と語る。
同社では約30万箇所に上る「守るべき箇所」を把握しており、そこにアクセスしようとするプログラムをいったん捕捉するという。そして問題なければ、そのまま動作し、問題がある場合は隔離することが可能だ。
プログラムの動作は疑うというロジック
また、誤検知が少ないのも特徴の1つ。「H4E(Humming Heads 4 Elements)」と呼ばれる機能により、ウイルスか正常なプログラムかを、IPアドレス、プログラムの詳細・親子関係、ハッシュ値など、大量の情報で判断する。導入に際しては、動作してOKなプログラムを登録したホワイトリストを作成することで、より高い検出精度を実現できる。面倒と言われるホワイトリストの作成もツールが用意されており、しかもプログラムよりも細かい単位で制御できるのがポイント。「他社のようにEXE単位でホワイトリストを作ると、Excelまるごと使えないということになるが、Defense Platformはマクロやスクリプト単位で実行を制御できます」(松岡氏)。
ハミングヘッズ 販売・システム・マーケティング コンサルタントの石津広也氏は、「Defense Platformはユーザーのやっている操作は原則信用し、プログラムが自動でやっているところは疑うというロジックなので、明示的に禁止するか、OK出すという考えです」と語る。また、松岡氏は「100%検出し、誤検知0%というのはオーバーコミットでは?という声もあるが、ホワイトリストを作成し、許可されたアプリケーションしか実行できないので、こういう数字になる」と説明する。
さらに動作が軽快なのも大きな売り。「Defense Platformは毎回のスキャンがないので、コトが起こらない限りはアイドリング状態なので、軽量。他社製品とも共存することが可能になる」(松岡氏)とのこと。製品は、法人向けのみならず、安価な個人向けのエディションも展開されており、60日間の試用も可能になっている。
