pr

「間違いだらけのセキュリティ対策からの脱却」セミナーレポート Symantec Endpoint Protection 11.0が持つ、 「脅威の見えない化」に対抗する先進セキュリティ技術

守り手の裏をかくように変化し続ける攻撃の手法。その脅威から身を守るには、さらにその上を目指す必要がある。2008年7月15日に東京で行われたセミナー「間違いだらけのセキュリティ対策からの脱却」の中で紹介された今あるべきPCセキュリティ対策を解説する。

　ひそかに情報を盗み出す新手の脅威。ウイルスの被害が急激に拡散し、いち早くウイルス定義ファイルを更新して対策を施すといった従来のセキュリティ対策だけでは不十分となり、いまやまったく知られていない新種のスパイウェアなどに気がつかないうちに情報を盗みとられていることさえある。

　「Symantec Endpoint Protection 11.0」（以下、SEP 11.0）はそんな時代のセキュリティ対策を再定義するプロダクトだ。新たな攻撃の手法とともに、SEP 11.0がそれに対抗するためにどのようなセキュリティ技術を搭載しているかを解説していこう。

過去の経験が通用しない?! 　誰も知らない未知のウイルスから守るには

　ウイルス対策ソフトの決め手とはなんだろうか。従来の考え方であれば、1つの指針として「ウイルス定義ファイルの更新頻度やスピード」が挙げられたであろう。新たなウイルスが発生した場合には定義ファイルを作成し、管理者は定義ファイルを更新することでPCを守ることができる。

増え続ける悪意のあるコード（シマンテック調べ）

　しかし、現在は新たに発見された悪意のあるコードは年々驚異的に増加しており、2007年下半期では約50万種となっている。その原因の1つが「標的型攻撃」の増加だ。標的型攻撃は、特定の企業、部署、地域、グループなどだけに絞った攻撃だ。ターゲットが絞られ、活動範囲は極端に狭くなるため、発見者から報告がされにくくなり、セキュリティベンダの監視網をすりぬけてしまう。そうなると、脅威の解析が進まず、定義ファイルを作成することが難しくなる。

　そこで、そのような脅威がPC上に侵入してくることも想定し、既知の攻撃パターンをベースにした検出だけでなく、定義ファイルなどに依存しない方法で、いかに未知の脅威を検出できるかが重要となる。 SEP 11.0では、このような未知の脅威を検出するための新たな技術として「TruScan」と呼ぶビヘイビア（挙動）分析型スキャンエンジンを搭載している。

　従来の製品でもいわゆる「ヒューリスティック分析」機能が未知のウイルス対策として利用されているが、これは既知のウイルスの亜種かどうかを判断するだけのものも多かった。TruScanのビヘイビア分析型では、プロセスの挙動を120以上の動作――キー入力キャプチャ、レジストリの書換えなど――を独自のロジックで分析する。　ここで重要なのは既知のウイルス情報から判断するのではなく、そのプロセスの「動作を基に判断」しているということだ。この機能によりプロセスの挙動を善悪両面で判断でき、100万台のPCで6カ月間テストしても誤検知率はわずか0.004％という実績を挙げることができたのだ。

進む脅威の「見えない化」　 　PCの目を盗むルートキットを検知するには？

　そして、侵入と継続的な情報収集活動のすべてを隠ぺいするため、最近トロイの木馬やスパイウェア活動に頻繁に使用される手法「ルートキット」を悪用した脅威がある。あなたが「PCがおかしい」と思ったとき、タスクリストで見覚えのないプロセスが走っていないかを確認するだろう。全プロセスを見てもおかしなプロセスがない……しかし、そのおかしなプロセスが実は「タスクリスト自体」だったとしたら？

　ルートキットは、まさにそのような方法で自分自身を隠ぺいする。自分自身の実行をするために必要なファイルやプロセスの隠ぺいだけではなく、ログの隠ぺい、削除、さらにはバックドアなどの機能を持つものまで存在する。そのため、通常のセキュリティ検出では発見が困難であり、スキャンをしても「問題なし」となっている場合がある。

　ルートキットはファイル監視の目を逃れるために、Windowsファイルシステムを乗っ取るような動作を行う。通常スキャンエンジンもWindowsファイルシステムを通じてファイルへアクセスするので、スパイウェアなど「存在するはずの脅威」がルートキットによるうその報告により「見えない化」されてしまうのだ。

ダイレクトボリュームスキャンにより、ルートキットにより隠ぺいされるスパイウェアを検出できる

　では、SEP 11.0に搭載された新たなセキュリティスキャン技術では、どのように問題のあるファイルを検知しているのだろうか。SEP 11.0の特徴である「ダイレクトボリュームスキャン」はOSが提供するファイルアクセスの技術を利用せず、直接ディスク上のボリュームにアクセスすることができる技術を利用したスキャン技術だ。

　これはシマンテックが2005年に合併したベリタスの技術、VxMS（ベリタスマッピングサービス）のダイレクトボリュームスキャンを利用している。OSベンダにも技術提供されている高度なボリューム管理の技術を応用したスキャンであり、ファイルアクセスを妨害するルートキットを利用したセキュリティ脅威の検出や安全な削除に大きな効果がある。

「アンチウイルス」から「エンドポイントプロテクション」へ 　しかし負担はかけません

　SEP 11.0では、このように基本的なセキュリティ脅威の検出、削除力を大幅に強化することで新たな脅威に対抗している。そして、さらに対策を強化したい場合には、ネットワーク攻撃を防御するクライアントファイアウォール、侵入防止の機能、Winnyなどを経由した情報漏えいを防止するためのアプリケーション実行制御、USBなどによる情報漏えいを抑制する外部デバイス制御機能なども搭載されており、必要により選択して使用できる。

　そして、SEP 11.0ではスキャンをかけていないとき、つまりあなたが仕事をしているときにはPCへの負担を極力下げるように改良されている。具体的にはユーザーメモリ領域のメモリ消費量を従来製品に比べ最大70％まで削減しているのだ。

　このようにSEP 11.0は、主流となりつつある新たな脅威、未知の脅威や新種のルートキットに対抗し、必要な技術や対策機能をオールインワンで提供する。あなたのシステムを守るために「旧来のウイルス対策」だけで十分なのか、いま一度確認しておきたい。そのためには、SEP 11.0の機能を知り、今の脅威を知ることが重要なのだ。

関連リンク

・シマンテック エンドポイントセキュリティ ・Symantec Endpoint Protection 11.0 無償評価版ダウンロード

ホワイトペーパー 「Symantec Endpoint Protection 11.0」簡単インストールガイド 外部のセキュリティ脅威からエンドポイントを保護する「Symantec Endpoint Protection 11.0」のインストール手順について、簡単なネットワーク構成例を基に分かりやすく解説。 　企業ネットワークにアクセスするのは社内からだけとは限らない。外出先や自宅からなどアクセスの手段は多様化および複雑化している。そのような状況を踏まえて、外部からのセキュリティ脅威への対策や内部統制対応として力を発揮するのが、エンドポイント（サーバやクライアント、PDA、携帯などネットワークに接続された端末）のセキュリティ強化対策だ。 　このホワイトペーパーでは、シマンテックの次世代エンドポイントセキュリティソリューション「Symantec Endpoint Protection 11.0」のインストール方法を分かりやすく解説する。どのような環境ならば、同ソリューションでエンドポイントの管理および運用を行えるのか？　管理コンソールおよびクライアントの最低システム要件を記載した上で、インストールの手順をスクリーンショットとともに一から説明していく。

提供：シマンテック株式会社
企画：アイティメディア 営業本部
制作：＠IT 編集部
掲載内容有効期限：2008年9月13日