米国防機関でも採用実績、検知も駆除もしないエンドポイントセキュリティの強みとは
「マルウェアを発症させない」新概念のAppGuardについて聞いた
2017年11月27日 07時00分更新
「他製品とはまったく異なるAppGuardの『価値』をわかって導入していただきたい。そのため、現在はまだこの技術を理解し、100%信用していただくための段階だと思っている」。エンドポイントセキュリティ製品「AppGuard」の販売パートナー、ITガード 代表取締役の前田悟氏はこう語った。
AppGuardは「米政府機関や国防機関が採用し、過去18年間“破られた”という報告がない」「検知型ではない新概念で未知の脅威も防ぐ」エンドポイントセキュリティ製品だという。また開発元であるBlue Planet-worksが、ANAホールディングスや電通、JTBといった大手企業から合計110億円の資金調達を行ったことでも注目を集めた。
AppGuardの中核技術「Isolation Technology」の特徴
しかしこれだけでは、AppGuardはどのような「新概念」の製品なのか、具体的によくわからない。また顧客企業にとってのメリットは何か、どのような販売戦略を持っているのかといったことも含め、ITガードの前田氏と同社 執行役員 プロダクト技術マネージャーの吉川剛史氏に聞いてみた。
(左から)ITガード 代表取締役の前田悟氏、ITガード 執行役員 プロダクト技術マネージャーの吉川剛史氏
プロセスの隔離とポリシーの継承でマルウェアを「発症させない」仕組み
AppGuardは、もともと米Blue Ridge Networksが保有していたセキュリティ技術資産/事業を日本のBlue Planet-works(旧社名KeepTree)が買収し、開発を進めているセキュリティ製品だ。米国では国防省や国土安全保障省、軍、NASAなどでの採用実績があり、国土安全保障分野のセキュリティ製品アワード「GSN Homeland Security Award」を過去3年連続(2014~2016年)で受賞している。
またBlue Planet-worksには、今年4月にANAホールディングスや第一生命保険、損保ジャパン日本興亜、電通、電通国際情報サービス(ISID)など8社が、さらに8月にはJTB、フェイス、吉本興業なども加わり、合計で110億円の出資を行っている。IT業界外の大手企業が投資を行っている点からも、AppGuardに対するユーザー企業の期待の高さがうかがえる。
現在のところ、AppGuardはWindows PCとWindows Serverに対応している。その中核をなす技術は「Isolation Technology」だと、ITガード 技術マネージャーの吉川氏は説明する。
これは、AppGuardがカーネルレベルで稼働し、ポリシーに従ってハイリスクなアプリーションのプロセスを“隔離(=Isolation)”するという技術だ。ここで言う「隔離」とは、プロセスの行動を監視して、システムファイルやレジストリの書き換え、他のプロセスのメモリ改竄/読み出しといったリスクの高い動作を制限するという意味である。
これにより、マルウェア感染によって危険なプロセスが発生しても、攻撃につながる行動はできない。従来製品のようにマルウェアを検知、駆除するのではなく、「発症させない」という発想だ。
アプリケーション実行時の概念図。マルウェア感染でApp-aのプロセスが乗っ取られているが、カーネルレベルで監視しているAppGuardがシステムファイルや他のプロセスへのアクセスを遮断している
もうひとつ、Isolation Technologyでは“ポリシーの継承”も重要なキーワードである。AppGuardは、あるアプリ(親プロセス)が別のプロセス(子プロセス)を起動させた場合には、親プロセスのアプリと同じポリシー(つまり動作制限)を適用する。これにより、たとえばWebブラウザやメーラーから侵入したマルウェアが「Word」や「Acrobat Reader」を起動させて、その脆弱性を間接的に悪用するような攻撃も防ぐ。
実際の攻撃で見る“ポリシーの継承”。メールによる標的型攻撃が行われたが、親プロセスであるOutlookへの制限(ポリシー)が子プロセスにも継承され、レジストリキーの書き込みを防いだ
AppGuardが標準のポリシーで定義している「ハイリスクなアプリ」とは、ブラウザやメーラー、Acrobat Readerなどのインターネットからの“侵入口”として狙われやすいアプリ、そして最終的な攻撃実行(システム改竄など)で悪用されやすいコマンドプロンプトやWindows PowerShellなどだ(ポリシー定義の追加も可能)。OSにより信頼されたアプリであっても、すべてのプロセスを検証する。また、制限する動作としては、管理者権限がないとアクセスできないシステムフォルダへのアクセス、レジストリや他プロセスのメモリへのアクセスなどがあるという。
「一方で、インターネット通信に関係のない低リスクなアプリは(標準のポリシーには)定義されていない。ここがミソで、全部定義するとなると(動作を許可するアプリをすべて指定しなければならない)従来のホワイトリスト型セキュリティ製品のようになってしまう」(吉川氏)
こうした仕組みのため、AppGuardでは、従来のセキュリティ製品が必要としていたシグネチャが不要である。また、ふるまい検知型の製品で発生しがちな誤検知もなく、高度な知識を持ったセキュリティ担当者がその都度検証し、判断するという管理の手間もない。「メーカーでは“Set & Forget”、つまり導入、設定したらあとは忘れてしまっていいと言っている」(前田氏)。
なお、AppGuardでは、多数のエンドポイントを統合管理するためのマネジメントコンソールも用意されている。ここで定義したポリシーをエンドポイントに自動配布し、一方でエンドポイントから収集したログを可視化するツールだ。ITガードでは、このマネジメントコンソールをクラウドサービスとして提供している。
クラウド上のマネジメントコンソールが、FTPサーバーを介して多数のエンドポイントとのポリシー配布やログ収集を行う
正当なアプリもブロックされるのでは? などの疑問点をぶつける
こうした技術説明を受けて、筆者は幾つか疑問に思った点を聞いてみた。
まず、AppGuardでプロセス監視/制御することによるオーバーヘッドはないのか。吉川氏は「オーバーヘッドはまったくない」と答えた。AppGuardは、仮想化やコンテナの技術でプロセスを隔離しているわけではない。また、PCにインストールするAppGuard全体の容量は781KB、Isolation Technologyエンジン部だけだと80KBと非常に軽量だという。
次に、AppGuardの仕組みならばオフラインのPCでも動作するはずだが、動作要件としてネットワーク接続が含まれているのはなぜか。これについては、修正したポリシーの配布やエンドポイントのログ収集をネットワーク経由で行うためであり、常時接続されている必要はなく、AppGuardエージェントそのものはオフラインでも動作すると説明した。
場合によっては、AppGuardが正当なアプリの動作を阻害してしまうこともあるのではないか。これについては「その可能性はある」(吉川氏)という。「たとえばログファイルを『Program Files』に書き込んでしまうような、マイクロソフトが定めるプログラミングの“お作法”に則っていないようなアプリ」(吉川氏)。そのため、導入する企業では試験導入を行い、社内で利用されているアプリに適したポリシーチューニングが必要になることがある。
AppGuardでは、Webやメール経由で侵入するマルウェアの駆除は行わないのかという問いについては、まさに「行わない」との回答だった。前述したとおり、AppGuardはマルウェアの「発症」を防ぐという発想の製品だ。メーカー側としては、別途アンチマルウェア製品をインストールする必要すらないと考えており、実際に米国ではそうしている顧客が多いという。「ただし、日本の顧客はまだ併用されているケースが多い。ただ、その場合もわれわれは、『Windows Defender』など無料のアンチマルウェア製品で十分だと説明している」(前田氏)。
エイチ・アイ・エスが導入、今後も導入事例を増やし「信用」を高めていく
AppGuardの販売ターゲットはどんな企業なのか。その質問に、前田氏は「どんな業種/規模でもターゲットになる」と答えた。
数千台、数万台規模のPCを抱える大企業では、これまで幾つも導入してきたエンドポイントセキュリティ製品のコストや、高度セキュリティ人材の人件費も含めた運用コストを大幅に削減できる見込みがある。一方でPCが200台、300台規模の中小企業においては「正直なところ、そこまでガクンとコストは下がらない」(前田氏)。
ただし、現時点で最も訴求すべき点はコストメリットではないと、前田氏は考えているようだ。
「そもそも数百台規模の企業だと、個人情報をたくさん持っていても、IT担当者はほかの業務に手を取られていて、情報漏洩対策までは手が回っていないケースが意外に多い」「AppGuardは、従来の技術を積み重ねた他社のエンドポイントセキュリティ製品とはまったく発想が違う。(導入によって大きくコストが下がらなくても)安心・安全性は天と地の差がある。顧客にその『価値』を理解していただかないと、売っていても面白くない(笑)」(前田氏)
ITガードがAppGuard導入を支援したエイチ・アイ・エスの場合も、第一にその「価値」に賛同して導入を決めたという。「まずは“100%守る”、安心安全を実現することに賛同いただいた。そのうえでコストも下がる、IT管理者も楽になる、と」(前田氏)。66カ国に展開する同社では、各国にIT管理が任されておりこれまで13メーカーものエンドポイントセキュリティソフトが導入されていた。これをAppGuardに統一することにし、現在は海外支店から徐々に入れ替えを進めているという。
冒頭に挙げたコメントのとおり、前田氏は、現在はAppGuardという製品の認知と信用を高めていく段階だと考えているという。そのためにも国内でより多くの導入事例を作り、アピールしていきたいと語った。
