マルウェア侵入でも悪意のある動作を遮断--AppGuardを展開するITガード

吉澤亨史 2018年05月07日 07時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 セキュリティ企業のITガードは、中小企業向けのエンドポイントセキュリティソフト「AppGuard Solo」を5月7日から提供するすると発表した。従来の「検知技術」型(定義ファイルや機械学習、レピュテーション、ホワイトリストなど)とは一線を画す技術だとし、未知のマルウェアも阻止するという。同社 執行役員 プロダクト技術マネージャーの吉川剛史氏と代表取締役の前田悟氏に話を聞いた。


ITガード 執行役員 プロダクト技術マネージャーの吉川剛史氏(左)と代表取締役の前田悟氏

――AppGuardの概要はどのようなものでしょうか。

吉川氏:AppGuardのコンセプトは、システムの正しい動作と機能を守るというものです。私たちは、これまでのエンドポイント対策製品を「検知型(IoC:Indicator of Compromise)」と呼んでいます。パターンファイルや振る舞い検知、人工知能(AI)を活用するなど、進化はしていますが、過去に起こったインシデントがないと検知できません。


従来型の対応イメージ(出典:ITガード)

 これに対してAppGuardは、攻撃の兆候があった時にだけそれを阻止する「IoA型(Indicator of Act)」です。そのため検知をしませんし、駆除もしません。プロセスレベルで不正な行為を未然に阻止するだけという、非常にシンプルなものです。逆に言えば、「例えウイルスに侵入されても発症しないのであれば安全」という考え方です。ですから、(攻撃者が検知を回避するために)ファイルを難読化するなどの手法も全く意味がありません。検知を行わないのでアップデートが不要ですから、そのためのインターネット接続も不要です。

 マルウェアは、メールやファイル、ウェブブラウザといった経路で侵入してきます。そこをAppGuardが監視します。いわゆるアプリケーション層ではなく、プロセスレベルで、例えば、パスワード情報を持ったメモリやWindowsが起動する際に読み込むレジストリキーなどを監視します。カーネルモードで動作し、全てのプロセスをインターセプトしているような形ですね。

――この他に、どのような特徴がありますか。

吉川氏:非常に軽いエンジンで動いていることが挙げられます。インストールファイルも実際の容量は10Mバイト強ですし、実際のエンジンも1Mバイト以下と、非常に軽量です。メモリやCPUの消費が少ない、軽いソフトと言えます。

 もう一は、子プロセスまで監視する「ポリシー継承」です。実際にAppGuardが標的型攻撃を止めた事例ですが、このケースでは最初にOutlookで標的型攻撃メールを受信しました。そのメールにはURLリンクがあり、これをクリックすると、PDFファイルをダウンロードするウェブサイトに誘導されますが、PDFファイルにはAcrobatの脆弱性を悪用する攻撃が仕掛けられていました。

 これをプロセスレベルで見ると、Outlookの子プロセスとしてウェブブラウザが起動し、誘導先のウェブサイトにある不正なPDFファイルを開くために、Acrobatがウェブブラウザの子プロセスとして起動します。このようにプロセスが移行しても、AppGuardはポリシーを継承します。このケースは、PDFファイルを表示して脆弱性を悪用し、レジストリキーに悪意あるコードを注入、実行するものでしたが、AppGuardは悪意あるコードが実行される段階で攻撃を止めました。


AppGuardによる対応イメージ(出典:ITガード)

 具体的には、Outlookからウェブブラウザ、Acrobatへとプロセスが進んでも、AppGuardがポリシーの範囲を自動的に拡大、継承することで、最終的に攻撃を止めます。これを「アイソレーションテクノロジー」と読んでいます。(攻撃に悪用されやすい)PowerShellやコマンドプロンプトも監視対象ですので、DLLなどの改ざんやSys32へのファイルドロップなど、悪意のある動きが起きた時点でAppGuardのポリシーと衝突し、受け答えが限定され、攻撃が封じ込められるわけです。デフォルトのポリシーに脅威の入口になり得るアプリケーションが設定されていますし、追加することできます。

 最近では、さまざまなマルウェア対策ソリューションが登場していますが、やはり、それらだけでは判別できないケースがあり、セキュリティ監視センター(SOC)が人的なリソースをかけて対応しています。SOCのスタッフには高度なスキルが求められ、その人件費が必要です。一方、AppGuardは高度なスキルを持つ人材を必要としないため、セキュリティ対策の運用コストを低減できるメリットは大きいと思います。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]