ウイルス対策“最終”手段、ホワイトリスト型アンチウイルスツール：IT導入完全ガイド（3/3 ページ）

[土肥正弘，ドキュメント工房]

インターネットからの脆弱性を狙う攻撃には注意が必要

　なお、インターネット接続を直接していないからといって、外部からの脅威が完全に防げるとは限らない。組織内のネットワークと完全に独立しているネットワークはほとんどないと言ってよい。ホワイトリスト型アンチウイルスを利用しても、適用前からシステムに潜在していた脆弱性がインターネットからの攻撃で狙われる可能性があることには注意が必要だ。

　例えばホワイトリストで許可されたアプリケーションにバッファオーバーフローのような深刻な脆弱性があった場合、それを狙われるとアプリケーションが攻撃者に乗っ取られる危険がある。十分な検証と脆弱性テストを行った上での適用が肝心だ。

　とはいえ、万一そのような攻撃が成功した場合でも、攻撃コードがメモリに割り込んでプロセスを起動したりレジストリを書き替えたりする「活動」をメモリやAPIで捕捉し、実行前にアラートを発報したり動作を止めたりできるツールも出てきている。例えばWindowsに搭載されているDEP（データ実行防止）機能は、システムメモリを監視し、プログラムの不正な実行を阻止する。また図2のように、APIを常時監視して不正な可能性があるAPI利用単位で、警告や動作停止できる柔軟なツールもある。

図2 API利用を常時監視し、不正利用プログラムをブロックするツール（出典：ハミングヘッズ）

　また、脆弱性を残すプログラムに対して改修やパッチ当てを行う必要もある。さらに業務の都合によってどうしてもプログラムの追加が必要な場合も出てくるだろう。その際、ホワイトリストの作り替えが本来は必要になるが、保護した状態のまま一部のホワイトリストを動的に変更する機能も備えるものがある（図3）。信頼できるプログラムに限り、プログラムとホワイトリストが同期して更新可能だ。

図3 保護したままプログラムの追加・変更・削除を行う「ダイナミックホワイトリスティング」（出典：インテル セキュリティ）

　以上、今回は組み込み系、制御系システムなど変更を必要としないシステム、あるいはサポート切れのOSを延命しながら利用せざるを得ないシステムの選択肢としてホワイトリスト型アンチウイルスツールを紹介した。第1回、第2回記事の最新エンドポイントセキュリティ製品と合わせ、従来のアンチウイルスツールのリプレース時の選択肢の1つとして検討をお勧めする。