ウイルスの脅威からデバイスを保護する(2)

約9割の企業が導入済みのウイルス対策ソフト。意外と知らない活用のコツ

前回は「Windows Defenderだけでは企業のウイルス対策は万全とは言えない」と述べました。それではどのようなウイルス対策を行えば、十分な安全性を確保できるのでしょうか。注目すべきポイントは大きく3点あります。

1:未知のウイルスの検出

第1は未知のウイルスを検出できることです。前回でも述べたように、最近では新種のウイルスが次々と生み出されており、これを使った「ゼロデイ攻撃」が増えています。すでにセキュリティベンダーが認識しているウイルスは、ウイルスに含まれるコードパターンを記述した定義ファイルが作成・配布されており、これとマッチングさせることで検出できます。しかし未知のウイルスはこの手法が通用しません。既知のウイルスをほんの少しだけ変えた「亜種ウイルス」でも、検出は不可能になってしまうのです。

このような問題を回避するために登場したのが「ヒューリスティック」と呼ばれる手法です。これは単純なパターンマッチングではなく、より抽象的な観点でウイルスを検出する方法であり、ウイルスでよく見られるコードの特徴、ありがちな挙動、過去に発見されたウイルスとの類似性等に着目し、未知のウイルスを見つけ出します。この手法は当然ながら、誤検出が発生する危険性があります。いわば、過去の犯罪者と見た目や挙動が似ているというだけで、相手を犯罪者だとみなすようなものだからです。そこで重要になるのが、誤検出を最小化するための機械学習機能と、学習を促進させるためのデータを用意することです。

2:ハッカーへの対応

第2のポイントは「パッカー」への対応です。これは一種の圧縮ツールですが、圧縮の対象が実行ファイルであり、圧縮ファイルを解凍すると即座にそれが実行されるという特徴があります。最近ではこれでウイルスを圧縮し、攻撃先に送り込むという手法が増えています。パッカーによって圧縮することで、既知のウイルスでも検出が困難になるからです。

3:エクスポロイトへの対応

第3は「エクスプロイト」への対応です。エクスプロイトとは、ユーザーが使用しているソフトウェアの脆弱性を利用した攻撃手法です。多くの場合、ソフトウェアのメモリ管理やデータ管理、ロジックの欠陥が脆弱性となり、その脆弱性を突く形で悪意のあるコードが送り込まれます。このような攻撃を回避するには、使用しているソフトウェアのセキュリティパッチを確実に適用する必要があります。しかし未知の脆弱性が存在し、それに対する攻撃が行われた場合には、回避が難しくなります。

選択すべきなのは全ての要件を満たすウイルス対策ソフト

これら全てを実現しているウイルス対策ソフトは存在するのでしょうか。答えは「Yes」です。それが、法人向けセキュリティ製品の最新版として昨年11月に国内提供が開始された「Symantec Endpoint Protection 14」です。

この製品でまず注目すべきなのが「SAPE(Static Attribute Protection Engine)」と呼ばれるウイルス検出用の機械学習エンジンを搭載していることです。またこのエンジンをトレーニングするために必要となる、ウイルスのサンプルデータも膨大に収集されています。その収集の仕組みは「GIN(Global Intelligence Network)」と呼ばれていますが、ここにはすでに3兆7000億ものデータが蓄積されているのです。これによって誤検知を最小化しながら、未知のウイルスを検出できるようになっています。

パッカーに対しては「Emulator」という機能で対応しています。これは「サンドボックス」と呼ばれる隔離された領域で圧縮ファイルを解凍し、その中に含まれる実行ファイルを確認するという機能です。実行ファイルがウイルスであった場合には、その実行を即座に停止します。

さらにエクスプロイトへの対応も「MEM( Memory Exploit Mitigation)」という機能で対応しています。これはエクスプロイトが行う特徴的な攻撃パターンを見つけ出し、それが検出された時点で攻撃を遮断するというものです。

これら3種類の対応を実現することで、ゼロデイ攻撃を含む多くの脅威を回避できるようになります。逆に言えば、これらの攻撃手法に対応していないウイルス対策ソフトを導入しても、セキュリティは確保できないのです。

今回は「ウイルスを実行させない」という観点でのセキュリティ製品選択について解説しましたが、企業における端末利用では、よりアグレッシブなアプリケーション制御が必要になる場合も少なくありません。例えば特定業務に使用される端末では、特定のアプリケーション以外は実行させない、といった対応です。

次回はこれを可能にする機能を紹介します。

 



お問い合わせ サイバネットシステム株式会社 ITソリューション事業部 TEL: 03-5297-3487 (平日 9:00-17:30)
お問い合わせ全般  価格お問い合わせ  評価版お申し込み