定義ファイルに依存しないマルウェアの検出技術、McAfeeの場合
新種マルウェアが激増する昨今、定義ファイルだけでは脅威を検出するのが難しいとして新たな検出技術が登場している。米McAfeeが導入を進めている新技術を説明した。
1日に見つかる新種マルウェアの数がかつてないペースで激増していると、セキュリティ企業各社は口を揃えて説明する。従来の定義ファイルによる検出では無数の新しい脅威に対処するのが難しく、各社は迅速に検出するための新技術の開発、実用化に注力している。このほど来日した米McAfeeシステムセキュリティ事業部門プロダクトマネジメント担当副社長のキャンディス・ウォーリー氏が、同社が導入を進めている新技術について解説した。
キャンディス・ウォーリー氏―― 各社が導入を推進する新技術の一つにオンライン経由で不審なデータの危険度を照会する「レピュテーション」技術がありますが、McAfeeでの取り組みはいかがでしょうか。
ウォーリー 「Artemis」の名称で2008年から企業および個人に提供しています。Artemisでは、ユーザーから提供される脅威情報をデータベース化し、ほかのユーザーが不審なファイルに関する脅威情報がデータベースに登録されているかどうかをオンライン経由で照会することにより、そのファイルの危険度が分かる仕組みです。
当社にはPCやサーバなどのエンドポイントだけでも約5800万のユーザーが世界にいますが、このうち約3000万ユーザーがArtemisのネットワークに参加しており、日々新しい脅威の情報を提供しています。
―― Artemisを実用化するに至った背景は何でしょうか。
ウォーリー 新規に見つかる不正プログラムが激増しており、もはや定義ファイルのみでは対処できないという状況になったからです。例えば、研究部門に提供される不正プログラムのサンプル数は2008年だけで約150万種にもなります。
もはや、従来のように個々の不正プログラムを分析して定義ファイルを提供するだけでは時間的にも対応が遅れてしまい、ユーザーを保護するのが困難になったというのが実情です。Artemisの構想は2〜3年ほど前からあり、2007年に研究リソースを集中投下して実現させました。
―― 多くの企業ユーザーは、ベンダーから提供された定義ファイルを一度管理サーバに蓄積して従業員に配信する仕組みを利用しています。新技術が企業ユーザーのシステム運用に与える影響はいかがでしょうか。
ウォーリー 既存の仕組みを大きく変えるということではなく、また、システムに負荷を与えるものではありません。検証テストに参加した企業は、多数のクライアントがオンラインで脅威情報を照会することによるネットワーク負荷の増大や、誤検知の増加を心配していました。しかし、テスト結果から負担はごくわずかであり、むしろ未知の脅威への対策が強化できる点を評価してくれました。
オンラインへの照会頻度は従業員1人当たり1日に3回程度で、通信時間は0.15秒ほどでしかありません。ユーザーにフィードバックするまでは、脅威が新しいほど時間がややかかってしまいますが、一定以上の評価ができたものは迅速に対応しています。
Artemisでは検出レベルを5段階に設定でき、最低レベルでの誤検知率は定義ファイルを利用した場合とほぼ同水準です。レベルを上げれば少しでも不審なファイルを検出するようになるため、ユーザーによって誤検知率が増えると思います。ユーザー多くは、最低レベルもしくは下から2番目のレベルを通常時に運用しているようです。
管理面では、統合管理ツールのePolicy Orchestrator(ePO)に一元化しており、対策状況は1つのコンソールで調整できます。Artemisでは感染被害があった場合に、検出レベルを一時的に高めて潜在している脅威を洗い出し、対処にめどがつけば通常レベルに戻すといった機動的な対応が取れるのも特徴です。
―― Artemis以外に取り組んでいる検出技術はありますか。
ウォーリー 現在、ホワイトリストを用いた対策技術の統合を進めています。この技術は6月に買収したSolidcore Systemsの技術で、信頼できる正規アプリケーションの情報をホワイトリスト化し、リストに基づいて通信やプログラムの実行を保護します。
定義ファイルやArtemisなどの技術は、不正プログラムに注目するという点でブラックリスト型の対策になりますが、正しい実行環境に注目するホワイトリストを併用すれば、ユーザーをより確実に保護できるでしょう。年内にはePOでも管理できるようになる見込みです。
―― 将来的に定義ファイルでの検出はなくなるのでしょうか。
ウォーリー 完全に無くなることはありません。定義ファイルによる検出は最も確立された技術で信頼性があり、ユーザーも残してほしいと要望しています。しかし、現在のような脅威の状況はますます激化していくと思われ、そのために新技術を導入しています。結果的に定義ファイルに依存する割合は小さくなっていくでしょう。
関連記事
セキュリティ機能の統合とクラウド連携を促進――McAfeeのCEO
米McAfeeのデウォルト会長兼CEOが来日し、セキュリティ対策の統合化とクラウド連携を柱とする事業戦略を発表した。- 犯罪マルウェアは1日に6000種を検出、ビジネスは不況でも衰えず
詐欺や情報窃盗に使われるマルウェアは月間20万種類、1日に6000種類が検出されている。 
スパムが企業のグローバル化を阻害する要因に
6月のスパムはバイアグラや偽ブランド時計を宣伝するものが上位を占め、件名は「Hello」が最も多かった。発信国のメールを遮断する動きも広がる。- マカフィー、未知の脅威への対応を強化する技術を導入
マカフィーは、解析前の脅威に対する防御の迅速化を目的にした技術の提供を始めた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- ゼロトラストの最新トレンド5つをガートナーが発表
- AIを作る、使う人たちへ 生成AI普及で変わった「AI事業者ガイドライン」を読もう
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- WordPressプラグイン「Forminator」にCVSS 9.8の脆弱性 急ぎ対処を
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- Appleの生成AI「MM1」は何ができるの? 他のLLMを凌駕する性能とは
ITmediaはアイティメディア株式会社の登録商標です。