攻撃者の先手を打つ防御 ~いま話題のレピュテーションがクラウド上で連携~
パターンファイルによるウイルス対策の限界
従来のウイルス対策は、パターンファイルをベースにしたものがほとんどでした。パターンファイルとは、ウイルスひとつひとつの特徴を収録したもので、個々の犯罪者を特定する指名手配書や指紋などに例えられます。これら“手配書”とファイルを照らし合わせることで(マッチング方式)、ウイルスを発見・駆除していたのです。
しかし近年では、OSやアプリケーションのぜい弱性の発見に呼応して、ウイルスの新種・亜種がまさに分単位で出現しており、その数は爆発的に増加しています。これに合わせて“手配書”の数が急増したため、パターンファイルのサイズは増加の一途をたどっており、配信時に企業のネットワーク帯域、利用時にクライアントのメモリを圧迫するだけでなく、対策が間に合わずにウイルス感染してしまうケースが増えています。
また、ここ数年は複数の脅威を連携させた攻撃が大部分を占めるようになりました。
具体例を挙げてみましょう。こういった攻撃は、まず大きな事件や有名人のゴシップなどといった、ユーザの興味を引くような内容のスパムメールを送りつけ、「詳しくはこちら」と文中のURLをクリックさせるところから始まります。リンク先のページでは「動画の再生には専用プレイヤーが必要です」などとメッセージが表示され、ソフトをダウンロードするよう促されます。人の心の隙をついた、「ソーシャルエンジニアリング」と呼ばれる手法ですが、実際の誘導先は悪意あるサイトであり、ダウンロードさせられるプログラムも、動画プレイヤーではなく、トロイの木馬やスパイウェア、ボットなどの不正プログラムです。つまり、うっかり誘いに乗ってしまうと、ユーザのPCはこれらの不正プログラムに感染してしまい、結果としてPCを乗っ取られたり、内部の機密情報を盗まれたりしてしまうのはもちろん、ボット化されてしまうと、他のユーザを攻撃する手段として悪用されることになります。
このように最近のウイルスは、ひとつの脅威(上記の例ではスパムメール)をきっかけに、E-mail、Web、ファイルなど、複数の脅威を連携させた攻撃を仕掛けてくる傾向が圧倒的に強くなっています。それゆえ、従来のパターンファイルのみに頼った対策では、対応が難しくなってきているのです。
そこで今回は、こうした問題を解決する手段として、トレンドマイクロの製品に搭載されているセキュリティ基盤「Trend Micro Smart Protection Network(SPN)」をご紹介します。SPNは、クラウド(インターネット上のデータセンター)とクライアント(お客様のPC)の連携によって、最新の脅威に対応するソリューションです。
「スマートスキャン」で負荷の軽減と最新の防御を実現
先に挙げたような問題に対処するため、SPNは「3つのレピュテーション」「スマートフィードバック」「相関分析」の3つの要素で構成されています。
「3つのレピュテーション」とは、既に提供されている「Webレピュテーション」「E-Mailレピュテーション」に、このたび日本でも提供が開始された「ファイルレピュテーション」が加わったものです。この「ファイルレピュテーション」は、お客様のサーバおよびクライアント(エンドポイント)上で不正プログラムを検知する「スマートスキャン」機能に利用されています。
スマートスキャンは従来のパターンファイルによるマッチング方式と大きく異なり、クラウドを活用した仕組みを採用しています。具体的には、従来のようにパターンファイルをすべてエンドポイントにダウンロードするのではなく、その大半をクラウド上に置き、必要に応じてそれを参照します。クラウド上には、前述の「個々の犯罪者を特定する指名手配書や指紋」などの情報が置かれ、エンドポイントには「犯罪の傾向や手口、犯罪組織に属している者の特徴」といった情報をダウンロードします。
「個々の犯罪者を特定する情報」は、過去のウイルスのデータがすべて詰め込まれているため膨大な量であり、しかも新たな不正プログラムが発見されるたびに増えていきます。一方、「犯罪の手口や傾向」に関する情報は比較的少量で、革新的な手口が登場しない限り増えることはありません。スマートスキャンでは、量のかさばる前者をクラウド上に置き、最低限必要な後者のみをエンドポイントに置くことで、パターンファイルのサイズを従来から約70%削減することに成功しました。さらにクラウド上のデータベースはいつでも最新の状態に保たれるため、エンドポイントは常に最新の防御で守られることになります。
さらに、スマートスキャンの採用によって、ネットワークトラフィックを約55%、エンドポイントのメモリ使用量を約50%削減することが可能になりました。つまり、セキュリティ対策のためにわざわざネットワーク帯域を増強したり、エンドポイントのストレージ容量、CPUやメモリを強化したりする必要がないため、長期的な観点からみれば負荷軽減・コスト削減につながります。
このように、スマートスキャンによって、ユーザはエンドポイントの負荷を軽減しながら最新の防御を利用できるようになるのです。
脅威を芋づる式に発見、一網打尽に
インターネットには日々新たな脅威が出現していますが、その情報を収集・反映する役目を担うものの1つが「スマートフィードバック」です。これに対応したトレンドマイクロ製品では、エンドポイントで検出された脅威について、その挙動などの情報をクラウド上のデータベースに送信します。こうしてさまざまな脅威の最新情報がクラウド上に蓄積され、それをもとに最新の防御がすべてのエンドポイントに反映されるのです。
スマートフィードバックは、世界中のトレンドマイクロ製品と、クラウド上のデータベースが常に情報を交換することで、その精度を高めていきます。例えば、ターゲット攻撃など特定の地域やお客様の環境で検出された脅威であっても、すぐにクラウド上のデータベースに反映されるため、世界中のお客様を同様の攻撃から保護することができるのです。
ここでスマートフィードバックと合わせ、SPNならではの特徴といえるのが「相関分析」です。お客様の環境で検出された脅威や、トレンドマイクロが発見した脅威に関する情報を、3つのレピュテーション間で相互に分析し、連携させます。先ほどの例でいえば、スパムメールはE-Mailレピュテーションに、メール内に記載されていた不正URLはWebレピュテーションに、サイトからダウンロードされる不正なファイルはファイルレピュテーションにと、それぞれのデータベースに情報が反映されます。
しかも、それぞれの情報が個別に反映されるだけでなく、その相関関係も分析、追跡された上で関連情報がデータベースに登録されます。スパムメールの配信元や、URLが記載されたメール、ファイルのダウンロード元となったWebサイトのURLなどがすべて関連づけて登録されるため、ひとつの脅威をきっかけに別の、複数の脅威を芋づる式に発見できるため、脅威を先回りして防御することが可能なのです。もちろん、その情報は、各レピュテーションによって世界中のお客様が使用しているトレンドマイクロ製品に日々反映されます。
より大きな安心・安全を、より小さな負荷で
それでは最後に、SPNの3つのメリットをまとめましょう。
まず1つ目は「最新の脅威への迅速な対応」です。脅威の情報は常にクラウド上で蓄積・更新され、世界中のお客様の製品に反映されます。これにより、誰もが常に最新の対策をリアルタイムで利用できるのです。
2つ目は「ユーザの負荷軽減」です。脅威についての情報の大部分をクラウド上に置くため、ネットワークやシステムなどを含むお客さまの環境に大きな負荷がかかりません。
3つ目は「コスト削減」です。導入、運用に関する管理者やユーザへの負荷が軽減すれば、当然セキュリティ対策にかかっていた全体的なコストも長期的に削減することができます。
このように、SPNを導入することで、お客様は小さな負荷で大きな安心・安全を得ることができるのです。
現在、SPNはトレンドマイクロの企業向け製品に順次実装されており、特にスマートスキャンは、企業向けエンドポイント製品2製品「Trend Micro ウイルスバスター コーポレートエディション10(Corp.10)」および「Trend Micro ビジネスセキュリティ 6.0」に搭載されています。さらにトレンドマイクロでは、SPNを全ての製品に実装するべく開発を進めています。
SPNは、3つのレピュテーションによってE-Mail、Web、ファイルと、さまざまな部分で脅威をブロックすることができ、さらに今日の脅威に対抗するために必要不可欠なフィードバックと相関分析がすでに実装済みであることが大きな特徴です。そしてこれらの機能によって、発見されたひとつの脅威から「先回りして」新しいソリューションを生み出せることが最も大きな強みなのです。
スマートスキャンでパターン配信、検索時の負荷を軽減!
SPNの主要な機能の一つファイルレピュテーションを使用したスマートスキャン。
ぜひ体験版でその効果をお確かめください!
ウイルスバスター コーポレートエディション 10
Trend Micro ビジネスセキュリティ 6.0
