デジタルアーツは2月15日、同社の主力製品である「i-FILTER Ver.10」と「m-FILTER Ver.5」に関する説明会を開催した。製品の新たな“ミッションチェンジ”として、従来の「内部漏えい対策ソリューション」から「新世代の標的形攻撃対策」に位置付けし、同社のソリューションの根幹技術である「ホワイトリスト運用」についても新たに「ウェブとメールを『無菌室』化する」ものというメッセージを打ち出した。
現行版であるi-FILTER Ver.10およびm-FILTER Ver.5は、いずれも2017年9月にリリースされた製品。リリース時点で、従来の「内部の情報セキュリティ対策」としての機能に加えて、新たに「外部からの標的形攻撃対策」機能が追加されている。その後、製品自体に幾つかのアップデートが行われたことや、ユーザー企業での運用実績が積み上がってきたことなどを踏まえ、今回新たに“無菌室”というメッセージで標的形攻撃などに対し、十分な保護を提供できるという情報発信に取り組み始めたという経緯になる。
i-FILTERは、ウェブアクセスを制御するウェブフィルタリングソリューションで、危険なウェブサイトをリストアップしたブラックリストに基づく制御ではなく、安全が確認されているウェブサイトをリストアップしたホワイトリストに登録済みのウェブサイトのみにアクセスを許可し、他は全て遮断するというホワイトリスト運用を特徴とする。
デジタルアーツ 代表取締役社長の道具登志夫氏
概要を説明した代表取締役社長の道具登志夫氏は、怪しいメールを開かない/クリックしないという対策を個々人に求めても効果が薄く、負担ばかりが増えて生産性が低下するという現状を指摘。その上で、「ブラックリストの脅威を99.99%防御できる製品を多層でどれだけ掛け合わせても、100%にはならない」「ホワイトリストで『無菌室』化することで安全なウェブとメールの環境を維持できる」とした。
詳細についてマーケティング部の遠藤宗正氏は、ホワイトリスト形の問題点として、ホワイトリストに登録された「安全なウェブサイト」の数が少ない場合、業務のために行ったアクセスも多数が遮断されてしまい、業務に支障を来たすという点が良く指摘されると説明した。i-FILTERでは、ホワイトリストを「クラウドDB」として維持しており、ユーザー各社からアクセスを試みたURLが未登録だった場合はチェック後にデータベース登録を行って全ユーザー企業で共有することで網羅率を維持するようにしているとした。
デジタルアーツ マーケティング本部の遠藤宗正氏
i-FILTERとm-FILTERの連携により、メールに記載されたURLがホワイトリスト登録されたものではない場合、アクセスを遮断することはもちろん、メールの送信元偽装などもホワイトリスト登録に基づいて検知できるなど、両製品の連携について解説した。
また、同社の取り組みの1つとして、「Dアラート」も紹介。これは、ウェブサイトの改ざんを察知した場合に、当該サイトのオーナーに警告を行うことで対策を促すという。ウェブサイトが改ざんされてマルウェア配布サイトへのURLなどが埋め込まれた場合、ユーザーアクセスとしては「ホワイトリストに登録された安全なウェブサイトから、未登録の怪しいサイトに移動しようとする」という動きになる。この挙動をi-FILTERで捕捉し、未登録サイトが危険なサイトだと判明した場合は、「ウェブサイトが改ざんされて危険なURLのリンクが意図せず埋め込まれた状態になっている」ものと判断して警告するというものだ。
網羅率を維持する仕組み(出典:デジタルアーツ)
i-FILTERの仕様上、ホワイトリストに登録されたウェブサイトが改ざんされてマルウェア配布サイトへのリンクが埋め込まれた場合でも、そのリンクをクリックしても実際のアクセスは遮断されるため、実害は生じない。論理的には、ホワイトリストに登録されたウェブサイトから直接マルウェアを配付するようになっていた場合は、このアクセスは遮断されず、i-FILTERではマルウェア感染を防げないことになるのだが、遠藤氏によれば、これまで同社で観測されたウェブサイトの改ざん例では、ほぼ全てが不正なURLの埋め込みであり、当該ウェブサイトから直接マルウェアが配付されていた例はなかったという。
将来的にもそうした攻撃が行われることがないとは言い切れないが、少なくとも現時点でのホワイトリスト運用の安全性を示すデータとして参考になるだろう。