リスク管理の新潮流「レジリエントセキュリティ」実現へ、最新エンドポイントセキュリティツール：IT導入完全ガイド（4/4 ページ）

» 2016年02月09日 10時00分公開

[土肥正弘，ドキュメント工房]

　では、旧来のパターンマッチング主体のアンチウイルスツールから、現在の最新エンドポイントセキュリティ製品では何が追加されているのか、主要なポイントを簡単に見てみよう。

ヒューリスティックまたは「振る舞い検知」機能

　過去の事例を基に「ウイルスによくあるコード」「既知のウイルスに似たコード」といった特徴を持つプログラムなどを検知するのがヒューリスティック機能だ。例えば、プログラムなどのPE（Portable Executable、実行ファイルのフォーマット）構造やリンカー、パッカーの種類を判別し、ウイルスが利用する傾向が高いものを検出することができる。いわば静的な検出機能だ。

　また「ウイルスの挙動」からウイルスに似たものを割り出す「振る舞い検知」機能も使われている。これは動的な検出機能であり、サンドボックスのように仮想環境上で事前に挙動を調査するわけではないが、リアルタイムに不正な挙動を検出しブロックすることができる。

　システム内で実行されているプログラムのプロセスを監視し、例えばキーロガーなどのスパイウェアのような動きや、外部サーバとの接続を行うバックドアのような動き、頻繁なネットワークアクセスの発生などの異常な動作を検知する。同様にAPIの利用を監視して、ウイルスのAPI利用パターンに近いものを検出するものもある。

　これらはパターンマッチングのように「正確にウイルスである」という判定は難しいものの、迅速に「ウイルスかもしれない」ものを検出することができる。通常のプログラムが不正なプログラムと近い挙動をあえてすることもあるため、ホワイトリストの併用やパターンマッチングとの組み合わせなどによって精度を高めることができる（図5）。

図5 未知の脅威の一部をパターンマッチング、ヒューリスティック、振る舞い検知で把握（出典：トレンドマイクロ）

レピュテーション機能

　ファイルやコードの中身を検証するのではなく、レピュテーション（評判）をベースにしてリスクの大小を評価するのがこの機能。世界中のセキュリティ製品やセキュリティ関連機関から1日に少なくとも億単位の情報が収集され、専門技術者が常駐するラボで相関分析されて、シグネチャや脅威情報としてユーザーに配信される。

　これにより、ユーザーはローカルでのポリシーに基づき、自社にとってリスクが高いと判断されるものを排除することができる。Webレピュテーションはご存じの人が多いと思うが、ファイル、メール、モバイルアプリなど、収集、配信されるレピュテーションの対象が増えている。

デバイス制御機能

　主にUSBメモリなどの外部接続機器の利用を制限する機能。従来はIT資産管理ツールが利用されてきたが、エンドポイントセキュリティツールの一機能としても利用できるようになってきた。情報漏えい防止や外部デバイスからのウイルス感染を防ぐために利用される。

脆弱性対応ルールによる攻撃対応機能

　OS、ミドルウェア、アプリケーションなどの脆弱性を、修正パッチなどを適用するよりも迅速に、被害を食い止める機能。攻撃をネットワークレベルでブロックするこの機能は「仮想パッチ」と呼ばれることもある。

不正ネットワークトラフィック検出ルールによる攻撃対応機能

　共有されている脅威情報から、不正と判断できるネットワークトラフィックや挙動を割り出し、同様のトラフィックの有無を検出する機能。不正トラフィックや挙動が検出できれば、その元となっているウイルスや感染端末を隔離することができる。

アプリケーション実行を制限する「ホワイトリスト/ロックダウン型アンチウイルス」

　もう1つ別の視点からの脅威対策として、システムが目的とする業務処理以外は実行できないようにする「ホワイトリスト型アンチウイルス」あるいは「ロックダウン型アンチウイルス」という手法がある。これは組み込み系システムやレガシーOSの延命策としても有効だ。次回、これについて詳しく解説する。

　以上、今回は「レジリエントセキュリティ」というキーワードに沿って、最新エンドポイントセキュリティツールの動向を紹介した。もはや「アンチウイルス」という言葉だけでは語れなくなっているのが現実。未知の脅威が増加する今日では、パターンファイルに頼る旧来のツールは時代遅れなのは明らかだ。

編集部からのお知らせ

公式Twitterアカウントはこちら

実施中アンケート　メールセキュリティ

ITmediaはアイティメディア株式会社の登録商標です。