特集

最新のIT技術情報や旬な話題をお届けいたします

増殖するマルウェアに果敢に挑む!グローバルセキュリティベンダが打ち出す“ホワイトリスト”という新発想

マカフィー株式会社 新規ビジネス営業部 南谷勝典部長

※マカフィー株式会社 新規ビジネス営業部 南谷 勝典部長

爆発的に増え続けているマルウェアの数は、今では1年間で数百万件にも達するなど一向に収まる気配を見せない。だからこそ、企業におけるマルウェア対策は今後も重要なセキュリティの要として位置付けられている。しかし、これまでの対処法では現実の脅威に対処できなくなっている面もあり、新たな時代に対応するセキュリティ対策が今こそ求められている。そんな脅威に対抗するための各種ソリューションを提供するマカフィー株式会社の新規ビジネス営業部 南谷 勝典部長に、脅威の実態や昨今のセキュリティトレンドを伺いながら、新たな対策として注目を集めるソリューションについて尋ねた。

複雑化する脅威・・・ブラックリスト方式の限界!

企業では、ウイルス対策ソフトウェアやIDS/IPS、各種フィルタリングツールなどを複合的に組み合わせることで、セキュリティ対策の強化を図ることが定着してきた。それでも、それらをすり抜けようとする新たなマルウェアは増加し続けている状況にある。特に2008年、2009年は、WebサイトやWindows、特定のアプリケーションの脆弱性を狙った様々な攻撃が多発した年でもあった。Webサイトに悪意あるスクリプトを埋め込み感染を広げるGumblarや、更にWindowsの脆弱性(MS08-062)を悪用して感染させるワームのConficker、USBメモリなどを悪用する脅威など、多くの企業が被害を受けたことは記憶に新しい。

攻撃の種類もさることながら、増え続けるマルウェアの勢いは収まる気配を見せない。それは、世界30ヶ国に350名以上の研究者を抱え、24時間365日休むことなく脆弱性の調査や研究を続けているMcAfee Labsの報告でも明らかだ。同研究所で確認されたマルウェアの数は、2007年の45万件から2009年には300万件を超える勢いを見せており、わずか2年の間に約7倍にまで膨れ上がっている状況だという。南谷部長は「単純にいえば、1日で1万件あまりのマルウェアが新たに検知されています。それに伴って、パターンファイルの更新頻度も高まり、パッチ適用のサイクルも増えているのが現状なのです。」と語る。

さらにやっかいなのが、様々な場面で使われているレガシーシステムに対するセキュリティ対策だろう。企業の中核を担うシステムはすでにマイグレーションが実施されているものの、金融機関の窓口業務や製造業のラインPCなど、特定の用途に限定された業務端末には、未だにWindows NTやWindows 2000などが一部で利用されているケースも少なくなく、高まる脅威に対して有効な対策が実施できていない状況が続いているという。Windows 2000のサポートが2010年の7月に終了することが決まっているなど、頭痛の種はさらに広がる一方だ。

また、一般業務で使われるPCについても利用者が勝手にアプリケーションをインストールしてしまうなど、自社のセキュリティポリシーに反する使い方で情報漏えいリスクを増やしているケースも少なくない。「マルウェア対策とは別の観点で、セキュリティポリシー徹底遵守のための仕組みが求められています。」(南谷部長)

ブラックリスト方式を補うための新たなテクノロジー

増え続けるマルウェアに対抗するため、セキュリティベンダ各社では従来型のブラックリスト方式によるパターンマッチングとともに、シグニチャが配布されるまでに起こりうる感染リスクを軽減するための、新たな手法を提供している。同社の場合は、それを「グローバル脅威インテリジェンス」と呼び、対応するシグネチャがないマルウェアへのリアルタイムな対策を実現する「McAfee Artemis Technology」と、IPアドレスやドメイン、コンテンツなどの実績にスコアをつけて総合的に判断し、レピュテーションを行う脅威分析エンジン「TrustedSource」を統合した仕組みがある。シグニチャ提供前のマルウェア感染への環境整備が行われているのだ。

特にMcAfee Artemis Technologyは、悪意のあるコードに保護対象のPCが攻撃された場合、リアルタイムにアクティブな保護を提供するクラウドベースのサービスで、シグニチャをアップデートすることなくパターンファイルが提供される前でも脅威に対抗できるようになる。すでに同社のウイルス対策製品の一機能としてMcAfee Artemis Technologyが導入されており、既存のブラックリスト方式によるパターンマッチングとともに脅威への高度な対策が可能だ。

ただ、シグネチャ提供よりも早いマルウェア対策が可能になった半面、パターンファイルの更新頻度が増え続けるブラックリスト方式では、結果として情報システム部門にかかる運用負荷が軽減されることはなく、さらにCPUやメモリなどPCリソースを圧迫し続けることになってしまう。また、ネットワークに接続されていないPCやレガシーシステムへのセキュリティ対策など、根本的な課題に対応できるソリューションとしては十分でない面もあると南谷部長。そこで同社が新たに提案しているのが、パターンマッチングによるブラックリスト方式ではなく、事前に正常と認めたもの以外は動作させない“ホワイトリスト方式”による脅威への対策だ。

更に先をいくホワイトリストのテクノロジー

具体的にホワイトリスト方式というのはどういったものなのか。南谷部長は「現在稼働しているアプリケーションやファイル以外は“動かさない”“動けなくする”という新たな発想のマルウェア対策です。ウイルスに感染したUSBメモリをPCに挿入しても、感染のために必要なexeやdllを動かすことができない。結果として、ウイルスに感染しない、できないのです。」と語る。あらかじめ許可されたExe、dllやJavaクラスなどのバイナリやスクリプトなどを事前にホワイトリスト化することで、リストにないプログラムを動けなくし、マルウェアによる攻撃からサーバやクライアントを守ることができるようになる。

この新たなホワイトリストという発想を実現するのが、「McAfee Application Control」と呼ばれる製品だ。まず、ウイルス駆除がきちんと行われた自社オリジナルのクリーンなPCを用意し、そこにMcAfee Application Controlをインストールする。そして、すべてのファイルをスキャンすることでホワイトリストを自動生成し、PC上で実行できるアプリケーションを“固めてしまう”のだ。McAfee Application Controlはアプリケーションが起動されたタイミングで、ホワイトリストにないものは実行させないように作られている。ウイルス対策ソフトウェアのように定期的にスキャンを行うことなく、CPUの負荷も1%程度と軽いため、最小限のリソースだけで運用することが可能だ。

許可されたアプリケーション以外が動作しないことはセキュリティポリシー遵守の観点からも有効であるが、ソフトウェアのアップデートの観点では情報システム部門に負担がかかるのではと心配される方もいらっしゃるだろう。McAfee Application Control はWindowsアップデートやウイルス対策ソフトウェアの定義ファイルの更新のみを許可する、など自社のセキュリティポリシーに応じた柔軟な運用を可能にする。マカフィー社はもちろん、他社のウイルス対策ソフトウェアと併用して使うこともできるのだ。

対応OSにもその柔軟性が発揮されている。McAfee Application Control は、WindowsやLinuxはもちろん、組み込み系のWindows Embedded OSであるPOSReadyやWindows XPEmbeddedなどにも対応している。つまり、コンビニや量販店で使われているPOSレジ端末やカーナビゲーション端末、金融機関などにあるATM端末へのセキュリティ対策が可能となる。さらに、Windows 3.1時代に作られた16ビットアプリケーションから最新の64ビットアプリケーションまで、対応するアプリケーションの幅も広い。製造業の工場などで使われている制御系PCのアプリケーションでも使うことができるようになる。

マカフィー株式会社 新規ビジネス営業部 南谷勝典部長

このMcAfee Application Controlは、2009年6月に同社が買収したソリッドコア社の技術を用いており、国内外問わず様々な業界でホワイトリスト方式によるセキュリティ対策が導入されている。前述した工場内の制御系PCやPOSレジ端末などにも多く導入されており、ATMを製造販売する米NCRでは8万台以上のATMに同社の製品が採用されているなど、多くの人が日常的に利用している業務端末にも活用されているのだ。また、コールセンターなど業務アプリケーションの共通マスタを配布して利用するような業務でも、必要な環境だけをホワイトリストで固めてしまえば、マルウェアが万一侵入しても動作できないので実害はなく、感染の拡大もない。最近では一般の業務で使うPCでも情報システム部門が使い方を限定するなどセキュリティポリシーを強化している企業も増えている。ホワイトリスト方式であれば、情報システム部門が目指すIT統制環境を強化するときにも大いに役立つはずだ。

混同しやすい製品は市場にも存在する。しかし、不正なアプリケーションの実行や、アプリケーションプログラムの不正な変更を検知することで問題発生後の監査証跡など、コンプライアンスを目的とした製品ばかり。リアルタイムに不正な動きを検知して、その動作や改ざんを止めることができる製品は少ない。 更にMcAfee Application Controlは、他社製品にないユニークな技術を採用することで、実行ファイルの制御だけでなく、テキストファイルやメモリ上のプログラムの保護機能なども実装している。これらの機能により、設定ファイルの改ざん防止やバッファーオーバーフロー攻撃に対する防御も可能である。 グローバルセキュリティベンダである同社だからこそ、高い技術力を背景にきちんとプロアクティブに脅威への対処が可能な環境が提供できるのだ。

ポジショニング
図1.McAfee Application Controlの市場におけるポジショニング


ただ、ホワイトリスト方式によるセキュリティが万能であるというわけではない。多種多様なアプリケーションを使ったり、追加や削除を繰り返したりするエンジニアのような職種の場合は、やはり従来型のブラックリスト方式が有効だろう。これまでの対策をすべて否定するのではなく、脅威に対抗するためには複合的なセキュリティ対策が欠かせないと南谷部長。ただ、ホワイトリスト方式によるマルウェア対策が、新たなセキュリティの中核を担う可能性を秘めているのは間違いない。今後ぜひ注目してもらいたい。

マカフィー株式会社 新規ビジネス営業部 南谷勝典部長
Reported by Hirokazu Charlie Sakai, Writer

いつか見た景色 from Staff's Albums