ウイルス対策ソフトだけでは不十分 Vital Securityで補完する

一般的になったウイルス対策ソフトだが、これだけで万全な対策が施せる時代は終わった。常にウイルスの後手に回らざるを得ない対策ソフトの「空白の時間」を埋めるセキュリティ技術が必要になってきたからだ。アークンが販売するFinjan Softwareの「Vital Security」は、ひとつの答えになる。

 ウイルスの感染力は高まるばかりだ。ウイルス対策ソフトはほぼすべての企業に行きわたったが、ウイルスに感染したという報告はいまも絶えない。感染経路を多様化させているウイルスの高機能化/高速化に、対策ソフトが遅れをとっている点が指摘されている。

 ウイルス対策ソフトは基本的に、定義ファイル(ワクチンやパターンファイル、シグネチャなどと呼ばれることもある)といわれるウイルス固有のバイトパターンを配布して、最新のウイルスを検知しようとする。だが、この定義ファイルはウイルスが発見されてから作成されるため、発生からユーザーが更新作業を完了するまでに、どうしても時間がかかってしまうのだ。ある調査によれば、この時間は平均22時間〜24時間ともされる。

 この約1日という時間差が、対策ソフトでは保護できない「空白の時間」を生み、付け込まれる隙を生み出している。

 ウイルス対策ベンダーは、定義ファイルの作成時間を短縮化しようと努力しているものの、ウイルス登場後に作られる定義ファイルを用いる方法では、この空白をゼロにすることは難しい。そのため、最近の対策ソフトは未知のウイルスを検知する機能としてヒューリスティック技術を搭載している。しかしこれもチューニングが難しく、セキュリティレベルを上げれば、誤検知が増える問題を抱える。

 セキュリティソフトの販売を手がけるアークンの渡部 章社長は「シグネチャに頼らない能動的な対策が必要になってきた。夏休み前に、ウイルス対策ソフトを最新にして帰ったとしても、出社したころには意味をなさない。そんな事態も起こりかねない」と危惧する。

 いまやウイルスの後手に回らざるを得ない対策ソフトだけで、万全な対策を行うことは難しくなった。

能動的な対処を可能にするVital Security、その仕組み

 そこで現在注目されているのが、「ふるまい」検査と呼ばれる手法。この技術で特許を持つ米Finjan Softwareの「Vital Security」がその代表例だ。日本国内ではアークンが7月から販売を手がけている。

 Finjanはもともと、Active XやJavaアプレットなどのWeb上のアクティブコンテンツに注目しており、それを悪用するコードを解析するものとして、ふるまい検査技術を開発した。そこから対象を実行ファイルまで拡張していき、未知のウイルスにも能動的に対抗できるソフトに作り上げた。

 昨年から今年にかけて行われた調査では、96.88%をウイルス定義ファイル更新前に防いだ実績を上げており、米国政府や世界の国有銀行といった高セキュリティを求められる機関がいち早く導入を進めた。

能動的な対処を可能にするVital Security、その仕組み

 アークンでは現在、Webゲートウェイでウイルスなど悪意のあるコードの侵入を防ぐ「Vital Security for Web」と、電子メール経由で侵入するウイルスを防ぐ「Vital Security for E-Mail」の2製品を扱っている。

 どちらの製品もMMC(マリシャスモバイルコード)と呼ばれるふるまい検査機能を備える。ウイルス対策ソフトなどでは、防御できなかった悪意のあるコードをMMCのふるまい検査により発見できる仕組みだ。

■Vital Security for Webの動作

 図1はVital Security for Webの行うふるまい検査プロセスとなる。Webフィルタリングやアンチウイルスといった機能で防御できない悪意のあるコードは、MMCの機能により防御できる。HTMLコンテンツの中から実行型プログラム/Javaアプレット/ActiveXコントロール/Javaスクリプト/VBスクリプトなどのプログラムコードだけを抽出し、コードを逆アセンブルして、ローカルドライブへのアクセス、レジストリの変更、ネットワークの悪用、ブラウザの悪用、OSのコマンドを実行――といった5項目について分析し、悪意のあるコードかどうかを判断し、悪意のないものだけをクライアント端末まで通すといった動作をする。

 Vital Security for Webは、導入済みのWebゲートウェイウイルス対策やWebフィルタリングと併用することもできるが、その両方の機能をVital Securityに搭載させることも可能だ。

■企業の使用環境に合わせて、モバイルコードごとにポリシーを設定できる

■ブロックされると、ユーザーに任意のメッセージを表示する

 電子メール用のVital Security for E-Mailは、アンチスパム、ウイルス対策機能をすり抜けた電子メールに対して、MMCによるふるまい検査を行ってくれる。Vital Security for E-Mail自体がメールサーバ機能を備えているので、リレーサーバとして導入できる。また、情報漏えい対策に役立つ機能として、「Microsoft Office」で作成された文書に透かしを添付、機密文書の追跡を可能にするデジタルウォータマーキング機能も備えている。

ふるまい検査とアンチウイルスは併用する

 Vital Securityは、それだけでほとんどのウイルスの侵入を防ぐことが可能だ。しかし、「ウイルス対策ソフトと競合する製品ではない。両方を併用するのが望ましい」とアークンの渡部社長は言う。Vital Securityはゲートウェイからのウイルス侵入は防げるものの、感染してしまったウイルスを駆除する機能までは持たないからだ。

 また、Vital Securityの検知する悪意のあるコードは、「未知」であることが多く名称がない。直後に「Mydoom」や「Sasser」などウイルスの名前が分かったほうが、業務が円滑に進むといった運用上の理由もある。

 これからのウイルス対策には、対策ソフトと併せて、能動的な視点が必要となってきた。いまある対策ソフトにVital Securityを加えれば、万全なウイルス対策が可能となる。

関連記事

関連リンク