編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

OfficeやPDFファイルにもマルウェアの脅威--マカフィーが多層防御で対応 - (page 2)

田中好伸 (編集部)

2013-04-02 18:23

 「内部コードをじっくり解読するのは、不正なロジックに一般性がないこともある。仮想環境では、仮想環境を検知し、動かないマルウェアもいる。実環境で動かしても、実環境の条件次第で動かないこともある」(本城氏)

 脅威の検知手法はこれまで、パターンファイルをベースにするシグネチャ型が使われている。その一方で、シグネチャ型では対応できないとして、マルウェアがどのように振る舞うのかを分析する“ビヘイビア”、行動を推論して検知する“ヒューリスティック”といった技術が活用されるようになってきている。

 シグネチャ型はマルウェアの「特定の特徴を検知する」が、ビヘイビアやヒューリスティックといった非シグネチャ型は「特徴を一般化したルールで検知する」ものだ。この違いを処理負荷でみると「シグネチャ型は負荷が小さいが、非シグネチャ型は大きい。検知処理に許容される時間やマシンリソースなどに応じて、処理の細かさや組み合わせ方を工夫する必要がある」(本城氏)


 そして現在は、ネット上に蓄積された脅威の情報と照らし合わせて、アクセスしようとしているメールやウェブサイト、ファイルなどが危険かどうかを判定する“レピュテーション”の仕組みがある。McAfeeは、クラウド技術「Global Threat Intelligence(GTI)」をレピュテーションに活かしている。本城氏は「検査するマルウェアが同じでも、状況に応じて動的に変化する」ことがあるため、レピュテーションを活用する意味があると説明している。

アプリケーションを可視化


Vinay Anand氏

 McAfeeでは提供するIPSアプライアンスのNSPを“次世代IPS”という言葉で説明する。一般的なファイアウォール(FW)はレイヤ3(ネットワーク層)とレイヤ4(トランスポート層)で特定のプロトコルを禁止するなどができる。これに対応して、一般的なIPSはデータリンク層のレイヤ2からアプリケーション層のレイヤ7までをみて、トラフィックの中身を分析してポートを閉じるなどの対策を取る。

 McAfeeが使う次世代IPSとは、アプリケーションが流すトラフィックを認識して、アプリケーションの動きを可視化できることが大きな特徴だ。例えば「Facebookを使うのはOKだが、Facebookのゲームで遊ぶのを止めることができる」。McAfeeのVinay Anand氏(ネットワークセキュリティ領域でプロダクトマネジメントのシニアディレクター)がこう説明する。NSPであれば「Googleトークは使えるが、(その中で)ファイルを転送することはできない」(Anand氏)といったことも可能だ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]