セキュリティを届ける男と試す男、ウイルスバスター“あのウワサ”を熱く語る！：「ファイアウォールなくなったの?!」「オフラインでは使えない?!」

トレンドマイクロの新製品、ウイルスバスター2011 クラウドを市場に“届ける男”と、疑似攻撃をすることでセキュリティを“試す男”――その2人が本音で語る「安全」とは？

[PR／ITmedia]

PR

　安全はかんたんには作れない――セキュリティ対策ソフトは、多くの「セキュリティのプロ」によって、1つの製品という形に収まっている。その思いは、残念ながら機能比較表では伝わらない。

　そこで今回は、トレンドマイクロ マーケティング本部 シニアプロダクトマネージャであり、「ウイルスバスター2011 クラウド」という“安全を届ける男”塩田行宏氏と、＠ITで「セキュリティ・ダークナイト」を執筆し、実際に「疑似攻撃」を仕掛けて企業システムの検査業務を行う“安全を試す男”辻伸弘氏の対談から、PCセキュリティの機能の裏にある、彼ら「セキュリティのプロ」の考え方を見てみよう。

ウイルス製作者は何を狙う？ それはあなたの……

――辻さんは趣味でウイルスを捕獲しているそうですが、ここ最近で何か変化はありましたか？

NTTデータ・セキュリティ 辻伸弘氏

辻氏　この対談に合わせて、ハニーポットと呼ばれるウイルス捕獲装置を見直してみました。そのとき気付いたのは、ワームの捕獲率が下がってきているように見えるのです。

　いままではデータが保存されているサーバに焦点を合わせていたウイルス製作者が、どうやら「普通のPC」に狙いを定めているのではないかと考えています。

塩田氏　まさにおっしゃる通りで、「受動的攻撃」と呼ばれるものが中心になっている、と考えています。以前と比べて、攻撃は発見しづらいものにシフトしています。なぜ発見しづらいようにしているかというと、攻撃者の意図が「お金」だからです。

　ちょっと前までは、ウイルス製作者の狙いは「有名になること」でした。でも、いまはウイルスが発見しづらいように潜伏します。攻撃者の心理が変わってきたことが、辻さんが感じた変化の正体でしょうね。

――では、それらの脅威から私たちのPCを守るにはどうしたらいいのでしょうか。

塩田氏　ここ最近の攻撃は「受動的攻撃」と申しましたが、これを分かりやすく説明すると「Webを使って、怪しいURLをクリックさせる攻撃」です。トレンドマイクロの調べでは、PC上の脅威の実に92％がWebを経由してやってきます。（参考：数値で見るトレンドマイクロ ビジネスセキュリティの実力）

辻氏　以前は脆弱性を直接攻撃していましたが、いまはいかにURLを踏ませて、人をだますことで攻撃できないか、と攻撃者の考え方が変化していますね。

塩田氏　ここ最近は、芸能人のゴシップなどを利用して「動画はこちら」などとして、興味に働きかけてクリックさせます。「人をいかにだますか」というテクニックを使っているのです。

　いまは1.5秒間に1つ※、マルウェアが増えるといわれています。ウイルスを実行させないことだけではなく、ウイルスをダウンロードさせないことが重要です。危険なURLかどうかをチェックする「Webレピュテーション」が重要ですね。

※2009年AV-Test提供データを基にトレンドマイクロが算出

「ローカルには20％のシグネチャのみで不安」の誤解

ウイルスバスター2011 クラウドの解説より。「情報の80％はクラウドへ」とあるが……

――ウイルスバスター2011 クラウドでは、80％のシグネチャ（ウイルスを検知するためのパターンファイル）をクラウドに、20％のシグネチャのみをローカルに保存するそうですが、20％のみでは不安という声がネット上で散見されるようですが……

トレンドマイクロ マーケティング本部 コンシューマ＆SBマーケティング部 プロダクトマネジメント課 シニアプロダクトマネージャー 塩田行宏氏

塩田氏　タイムラグなしにPCを守るためには、オンラインでリアルタイムに新しい脅威への対応する必要があります。そのための“クラウド”ですが、いままでのシグネチャで対応できるウイルスが100個あったとして、1番から20番をローカルで、21番から100番までをクラウドで……ではないのです。

　例えば、入国審査を考えてみます。外国からやってくる人の中で「怪しい人」を探すときに、「髪の毛の色が〜の人は『怪しい』」「コートを着ている人は『怪しい』」といったように、特徴だけをまずはつかみます。もちろん、髪の毛の色とコートだけで判断はできないので、その特徴に引っかかった人のみ、細かく精査します。

　実は、ウイルスバスター2011 クラウドでは、これと同じことをやっています。まずはウイルス全般に見られる特徴をローカルに保持しておき、ふるいにかけます。そこで引っかかったもので、明らかにウイルスであるものはそこで警告を出しますが、まだ判断できない場合にのみクラウドへ聞きにいく、という動作だとお考えください。クラウドとローカルの連携により、ローカルに20％のシグネチャ情報を置くだけでも、精度の高いセキュリティ対策が可能なのです。

――ちなみに、そこから漏れてしまった場合、感染に至るのでしょうか？

塩田氏　いえ、そういうわけではありません。例えば、USBメモリデバイスなどの外部機器の場合、デバイスコントロールといって外部機器内の自動実行ファイルの動きを抑制する機能により、マルウェアの侵入を防いでいます。

　もし、それをすり抜けてPCに侵入されたとしても、ウイルス特有の動作、例えばレジストリを書き換えたり、システムファイルを操作するなどの振る舞いを防ぐ仕組みがありますので、ご安心ください。

辻氏　今回「クラウド」という名前になったことで、オフラインでの動作が気になっていたんですが、ある程度の判断はオフラインでもできるということですか？

塩田氏　クラウドに置いてあると表現する「80％」の部分も、インテリジェントにキャッシュしていますので、オフラインでもほとんど意識する必要はなく、十分に性能が出ていると考えてください。

辻氏　逆に、クラウドに聞きに行くときに、通信の保護はどのようになっていますか？ ウイルスの中には、通信先を変更し、ニセの情報を渡したりという妨害を行うものも考えられますが。

塩田氏　クラウドへは、調査対象のファイルの“特徴”を、「HTTPS」による暗号化通信で行っています。また、通信をジャックするためにサーバ情報を書き換えるような攻撃も想定していまして、これもウイルスの振る舞い検知でカバーできます。

「ファイアウォール機能が消えた」のはホント？

――ネット上の評判を見ていると、「2011からファイアウォール機能が消えた！」という声を見かけるのですが……

塩田氏　その件についてもお客様からフィードバックをいただいています。

　実は、ひと言で「ファイアウォール」といっても内部でいくつか機能がありまして、具体的には「攻撃防御エンジン」「侵入検知システム（IDS）」「フィルタドライバ」などがあります。今回、ウイルスバスター2011 クラウドでは「フィルタドライバ」部分について、OSが持つ標準のドライバをそのまま利用しています。

辻氏　その理由は何ですか？

塩田氏　実はWindows VistaやWindows 7などの新しいOSでは、標準のフィルタドライバが年々その性能を上げてきており、品質も素晴らしいものです。トレンドマイクロとしてはOSにない部分を提供することに注力すべきと考え、ウイルスバスター2011 クラウドでは「ファイアウォールチューナー」として提供しました。ですので、ファイアウォール機能がなくなったわけではありません。

辻氏　クライアントのファイアウォール機能は実は大変重要なものなんです。Windows XPのころから、パーソナルファイアウォールでネットワーク型のウイルス、つまり「外部から内部への意図しない通信」はほとんどクリアできていました。また、ボットネットなどに感染してしまった場合、極論をいうと「内部から外部への意図しない通信」さえ防ぐことができれば、攻撃を指示するサーバへ接続できないので、感染したとしても外部から操作され、悪意のある行動に加担されられるという意味での「被害」はないんです。

　私が検査したシステムでも、サーバへの攻撃は防げなかったものの、外部への通信をきっちり防いでいた事例があります。感染はしたもののコントロールまでは至らなかった――これは総合力という意味では、よりベターな状態です。

塩田氏　確かにそうですね。

辻氏　「内部から外部への意図しない通信」を防ぐ機能、つまりアウトバウンドですが、感染したときにこのアウトバウンドをいかに止めるかが重要です。これはVistaや7ではおっしゃる通り標準のフィルタドライバに機能追加されましたので問題ありません。

　そこで気になるのは、XPの場合です。確かXPではアウトバウンドは標準では止められないはずなのですが、標準フィルタドライバのみでは問題がありませんか？

塩田氏　おっしゃる通り、XPですとアウトバウンドの通信をチェックすることができません。しかし私たちはほかにも防御するための機能を持っています。今回の例ですとそもそもマルウェアを防ぐための機能がありますし、万が一感染した場合でも、システムの書き換えなどの「振る舞い検知機能」で活動を抑え込むことができます。さらに、マルウェアが外部に情報を送ろうとした場合、その通信をブロックする「Webレピュテーション機能」や「個人情報保護機能」で守れます。

　つまり、もしファイアウォール機能で防げなかったとしても、ほかの機能で止めることができるわけです。先ほどの「総合力」だとお考えください。ですので、XPを利用されているお客様も安心してお使いいただけます。

安全を保つために考えるべき「総合力」とは

辻氏　私は8年ほど、セキュリティの世界に携わっていますが、正直にお話しすると「アンチウイルスで100％の安全性を確保する」のは無理だと思っているんです。

　最近ドラム式の“全自動”洗濯機を買いまして、本当に便利だと思ってるんですが、全自動をうたうのであれば、たたんでタンスの中に入れてくれるところまでやるべきだと思うんですよ（笑）。でも、そこまで期待する人はいないじゃないですか。

　セキュリティも一緒だと思うんですよね。感染したらダメはダメなのですが、それだけではなく、万が一感染してしまっても、重要な「データ」の漏えいや感染拡大、システムの破壊を防がなくてはならないんです。

塩田氏　なるほど。

辻氏　そういう意味で、ウイルスバスター2011 クラウドの機能で私が気に入ってるのは「データ消去ツール」なんですね。2通りの消去方法があって、米国連邦政府が定めたデータセキュリティ対策基準※に準じたデータ消去もできますよね。

　実は、私の会社で「フォレンジック」（証拠保全）の勉強会をやったときに、USBメモリやSDカードのファイル復活を実際にやってみたんです。ツールを使えばあっさり復旧できるんですよね。だからこの機能が付いているのはありがたいです。

塩田氏　そう言っていただけるとうれしいですね。なかなかアピールのできていない機能ですので。

※DOD 5220.22-Mに準拠

辻氏　この機能、どういう経緯で付けられたんですか？

塩田氏　PCを廃棄するということも日常的になったと思います。ファイルを全部削除しないといけないのですが、これを安全に行いたいというニーズがあるはずだと思っていました。ファイルをごみ箱に入れて中身を空にしても、ツールを使えば復旧できてしまうということを知らない人も多いと思います。「ファイルを安全に消せる」のも、セキュリティソフトの「総合力」の1つなんです。もっと、多くの人にこの機能を使っていただきたいです。

辻氏　私も、ネットを安全にするために何ができるのだろう、と考えたとき、やはりセキュリティベンダの力は大きいと考えています。ウイルス対策ソフトの良しあしを「検知率」で語られることが多いと思いますが、このような機能を通じてセキュリティを高めるために何をしなくてはいけないのか、という教育がされると、将来のネット環境はより安全になるのではないかと思います。

「届ける男」と「試す男」ががっちり握手

塩田氏　おっしゃる通りです。実はトレンドマイクロの社是として「安全にデジタル情報を交換できる世界」を掲げています。アンチウイルスでカバーできない範囲も私たちの製品で守れるよう、展開しています。国外で展開していたオンラインストレージである「トレンドマイクロ オンラインストレージ SafeSync」の日本版もつい先日リリースしたばかりです。

辻氏　ここ最近、ランサムウェアと呼ばれるものが出てきていますね。勝手にファイルを暗号化して、それを元に戻して欲しかったらお金を振り込めと。そういうウイルス対策の1つにバックアップというのは有効かもしれません。

塩田氏　アンチウイルスだけではなく、総合的に情報を守っていけるよう、トレンドマイクロは行動していくつもりです。

――ありがとうございました。

多くの第三者機関が認める実力、選ばれてNo.1！ セキュリティのプロたちが作ったトレンドマイクロのウイルスバスター2011 クラウド 。実は数多くの機関から評価を得ています。とりわけ、セキュリティ評価機関である「AV-TEST」や「NSS-Labs」からは総合的な「防御力」に高い評価が。単純な検出率ではなく、長い目で見た「総合力」で選ぼう！