「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方に、「今だから学ぶ!」と題して、連載でセキュリティの頻出用語を解説します。第25回は、「レピュテーション」についてです。
レピュテーションは、英語では評判、好評、名声という意味であるreputationという単語からきています。
Wikipediaでは、レピュテーションを「人、人の集まり、または組織に対する一つのグループでの一定の基準に基づいた評価(専門的には社会的評価)」と定義しています(参考:http://en.wikipedia.org/wiki/Reputation)。
レピュテーションを活用したシステム(レピュテーションシステム)は、病気を診断する医師から金融商品を評価する数学の専門家まで、長年さまざまな分野で、物事の評価と意思決定に使用されてきました。例えば、企業が銀行に対して融資を求めるとき、過去の取引実績や財務状況等の信用情報をチェックするようなシステムです。
セキュリティ分野においても、さまざまな企業や団体が、レピュテーションシステムを構築してきました。多くの場合、レピュテーションを評価するときには、ファイル、メール送信者やWebサイトなどのインターネット上に存在するデータを利用しています。
例えば、メールに対するレピュテーションシステムでは、送信元の各メールサーバーを、過去の実績(例えば、スパム配信数)をベースにして、評価・蓄積します。そして、そのレピュテーション情報を利用して、迷惑メールであるか否かなどを判別します。セキュリティソフトウェアは、Webアクセスやメール受信の際にレピュテーションシステムを利用して、レピュテーションが低い場合は、Webへのアクセスを拒否したり、メール受信を実施しないという処理を行います。
レピュテーションシステムは、新しいことを「学習」するたびに変更されるため、 静的なものでなく、日々内容が変化するという特徴があります。例えば、善意のWebサイトがマルウェアに感染し、その後すぐにマルウェアが駆除されるとします。その場合、駆除される前は、悪意のWebサイトとなりますが、駆除されたら、レピュテーションは修正され、善意のWebサイトになります。
この点において、レピュテーションシステムは、ブラックリスト/ホワイトリストを利用したセキュリティテクノロジとは異なります。レピュテーションは、常に変化しているものであり、ブラックリスト/ホワイトリストは一度設定したら自動的に変わるものではなく、管理者が一定の間隔で追加と削除を行うことで変化するため、静的なものと言えるからです。
また、レピュテーションシステムだけですべてが解決できるわけではありません。レピュテーションシステムをすり抜ける方法として、あるメールサーバーから、当初は正規のメールだけを配信して、評価が上がったところで迷惑メールを配信する手法があります。これにより、レピュテーションシステムでは、「完全な善意」や「完全な悪意」と評価することはほとんどありません。大部分は、その中間となるグレーゾーンに位置します。そのため、レピュテーションとポリシーを組み合わせて、セキュリティ対応の判断をします。
インテル セキュリティでは、レピュテーションを利用するサービスとして、McAfee Global Threat Intelligenceを提供しています。
McAfee Labsでは、世界各地に配備している数百万台のセンサー、McAfee Labsの研究者と自動化ツールによる分析結果、そして、Web、電子メール、ネットワークの脅威データを相関分析した結果も反映して、レピュテーション情報をMcAfee Global Threat Intelligence経由でリアルタイムに提供しています。
McAfee Global Threat Intelligenceの詳しい情報は、こちらをご覧ください。