“本物”の安全を求めるなら――「カスペルスキーインターネットセキュリティ6.0」(2/2 ページ)
カスペルスキーインターネットセキュリティ6.0
このように逼迫した状況の中、ジャストシステムから「カスペルスキーインターネットセキュリティ6.0」(以下、KIS6)が発売されることになった。前バージョンの「カスペルスキーインターネットセキュリティ5.0」(以下、KIS5)は、ライフボートより日本語版が発売されていたが、それがアンチウイルスとアンチハッカー(ファイアウォール)、ライフボートのセキュリティ製品単体をパッケージ化したものだったのに対し、KIS6では5つの機能を統合したスイート製品として生まれ変わっている。
KIS6が持つ5つの機能はどれもセキュリティスイートとして必要不可欠なものだ。そもそもセキュリティ製品はシステムのかなり深い部分にリンクし、高い特権レベルで動作している。そうでなければほかのプロセスを監視することも、危険な動作を検知した際に食い止めることもできない。このためセキュリティ製品は、各機能を統合した1つのスイートですべての脅威から保護するほうが望ましい。なぜなら強力な権限を持っているがゆえに、同様の単体ソフトをいくつも導入するとシステムにとって致命的な衝突を起こしかねないからだ。
昨今のセキュリティ事情を見回すと、主要な脅威は大きく分けて3つある。1つはいわずとしれたウイルス。2つめはフィッシング詐欺など個人情報を奪うスパイウェア。そして3つめがネットワークを介した第3者からの攻撃だ。KIS6ではウイルスの対策として「アンチウイルス」と「プロアクティブディフェンス」、スパイウェアの対策として「アンチスパイ」、ネットワーク攻撃に対しては「アンチハッカー」を搭載している。
残りの1つはスパムメールのフィルタリングを行う「アンチスパム」だ。ウイルスの感染経路としてメールがある以上、メールのチェックは行われなければならない。その際にスパムメールをあらかじめ排除してしまえば非常に効率的だ。スパムメールは迷惑なだけの広告メールだけでなく、ウイルスの感染活動やフィッシング詐欺にも利用される。1製品で完結したセキュリティ対策を提供するセキュリティスイート製品にはスパム対策も必須となる。それでは各機能を個別に見ていこう。
アンチウイルス
ウイルスの侵入経路は多岐に渡る。KIS6では代表的な3つの侵入経路、すなわちファイル/メール/ウェブに分類して、セキュリティレベルを設定できるようになっている。共通する設定項目は、それぞれのウイルスチェックの有効/無効、有効にした場合の検出レベル、ウイルスが検出された時の動作の3つだ。それに加えて独自の設定も用意されている。いくつか例を挙げよう。
1、ファイルアンチウイルス
[対象とするファイル形式]:すべてのファイルをスキャンするほかに、プログラムとドキュメントに限定することもできる。この場合は単にファイルの拡張子で対象を選択するだけでなく、実際にファイルのヘッダを読み込んでファイル種別を判断するように指定することも可能。拡張子が偽装されている場合に有効な項目だ。
[処理精度]:スキャンの対象をすべてのファイルか、新規作成および更新ファイルのみ対象とするかを指定できる。
[複合ファイル]:複合ファイルとは、圧縮アーカイブファイルやインストーラなど、形としては1つのファイルでも、内部的には複数のファイルが含まれているものを指し、これらのファイルをスキャンの対象にするかどうかを指定する。「次のサイズ以上の圧縮ファイルは展開する」が設定されていた場合は、ほかのファイルのスキャンが完了した後、バックグラウンドで展開処理が行われてスキャンされる。
2、メールアンチウイルス
[スキャン範囲]:受信メールのみをスキャンするか、それとも送信メールを含む全メールをスキャンするかを指定する。
[添付ファイルフィルタ]:添付ファイルのうち、あらかじめ指定したファイル形式のものを名称変更あるいは削除する。名称変更ではファイル名の末尾に“_”が追加される。これによってメーラーのプレビュー画面でいきなりプログラムが自動実行されてしまう可能性を回避できる。
3、ウェブアンチウイルス
[スキャン方法]:データのダウンロード中に随時スキャンを行うストリーミングスキャンか、完全にダウンロードされてからスキャンするバッファリングスキャンのいずれかを選択する。
ストリーミングスキャンは定義ファイルの一部を使用し、主要な脅威のみを対象とするもので、高速ではあるが見落とす可能性も増える。逆にバッファリングスキャンでは定義ファイルすべてを使用するために見逃しは減るが、スキャンに時間がかかり、タイムアウトになる可能性もある。なお、タイムアウトを回避するために、「最大バッファリング時間」を設定することで、スキャンが完了しなくても強制的にスキャンを終了させることができる。
ファイルをスキャンしてマルウェアを検出したところ(画面=左)。Exploitコードを含んだzipファイルをスキャンしたところ。もともと6.21Mバイトあったzipファイルの中から部分的にファイルが削除され、5.93Mバイトになっているのが分かる(画面=中央)。Webの閲覧中にウイルスを検出すると通知メッセージとともに非常に耳障りな警告音が鳴る(画面=右)プロアクティブディフェンス
定義ファイルを用いたウイルススキャンはいわば、前科者リストのようなもの。新種のウイルスが発見されてから定義ファイルを作成し、その定義ファイルを使ってウイルスを検出する、という流れでは最初の「新種のウイルスが発見される」という過程が非常に重要になる。なぜなら定義ファイルに記載されていない状態で「ウイルス(あるいはその可能性が高い)である」と判断することがこのサイクルの最初のステップだからだ。
定義ファイルにないウイルスを検出するのは前科のない犯罪者を捕まえるようなもの。セキュリティソフトの場合はさらに厳しく、その犯罪を犯そうとした直前で捕まえ、被害を回避することが求められる。そのためにKIS6には4つの機能が用意されている。
1、アプリケーションアクティビティアナライザ:ヒューリスティック(ふるまい検知)を行う。既知のマルウェアに似た動作をするもの、ルートキットのようにプロセスを隠蔽しようとするもの、疑わしいレジストリの値を書き込むものなどを監視する。
2、アプリケーションインテグリティコントローラ:システムで利用される重要なアプリケーションがほかのプログラムによって制御されていないか、改ざんされていないかを監視する。
3、レジストリガード:アプリケーションの自動実行やセキュリティの設定内容を記録する、重要なレジストリが変更されないかを監視する。
4、オフィスガード:VBAの危険な動作を監視する。
オフィスガードはVBAのさまざまなふるまいを監視する。かなり細かい分類がなされているが、通常はすべてチェックしておけばいいだろう(画面=左)。重要なレジストリを監視・保護するレジストリガード。ここで表示されているHOSTS Fileは実際のHOSTSファイルではなく、HOSTSファイルがどこにあるかを示すレジストリのキーのこと(画面=右)アンチスパイ
アンチスパイは詐欺的手法によってパスワードやクレジットカード番号などの個人情報を盗み出すものや、迷惑な広告ポップアップなど、インターネット利用時に直面することの多い脅威に対応する。アンチスパイには以下の4項目がある。
1、アンチフィッシング:AWPG(Anti-Phishing Working Group)から入手したフィッシングサイトのアドレスを元に作成された定義ファイルによってフィッシングサイトにアクセスした際に警告する。
2、ポップアップブロッカー:広告などのポップアップをブロックする。信頼済みサイトを登録して対象から除外することもできる。
3、アンチバナー:バナー広告をブロックする。
4、アンチダイアラー:有料回線や国際回線に勝手にダイアルアップされるのを防ぐ。
アンチハッカー
アンチハッカーはネットワークからの侵入や意図しない外部への接続を防ぐファイアウォールソフトとして機能する。セキュリティは次の5つのレベルが用意されている。
1、すべて許可:すべてのネットワーク接続を許可する
2、最小限度のセキュリティ:ユーザーが明示的に禁止したもの以外をすべて許可する
3、学習モード:アプリケーションがネットワークに接続する際にプロンプトを表示し、都度設定を行う
4、高いセキュリティ:ルールで許可されていない接続をすべて遮断
5、すべて遮断:すべての外部からの接続を遮断する
また、アプリケーション毎にファイアウォールの個別ルールを設定し、許可・不許可を指定できる。この際、複数の通信を利用するアプリケーションでは、各プロトコル別に許可・不許可を指定できる。アプリケーションによらずプロトコルごとにルールを設定するパケットフィルタリングルールを設定することも可能だ。インターネットやLANなどの接続先によって動作を変更するのであればゾーンの設定によって制御できる。
そのほか、ファイアウォールモードを互換性重視/速度重視のいずれかから指定する。オンラインゲームなど応答速度が重要な場合に重宝するだろう。
アンチスパム
アンチスパムではあらかじめ指定されたキーワードや、スパムメールの傾向を分析・学習してスパムメールを判断する。ここでスパムメール(あるいはスパムメールの疑いあり)と判断されたメールには、件名に[!! SPAM]や[?? Probable spam]などを付加する。通常、メールソフトは件名などのヘッダによってメールを自動的に振り分ける機能を持っているため、これらのキーワードを指定して通常メールとスパムメールを切り分けられるというわけだ。フィルタリングに利用できる機能は以下の3つ。
1、iBayes:現在SPAM判定に最もよく利用されているベイジアンフィルタと呼ばれる判定アルゴリズムだ。原理はメールテキストからフレーズ分析を行い、SPAMでよく利用されるフレーズを多く使っているメールはSPAMの可能性が高い、逆にSPAM以外でよく利用されるフレーズを多く使っているメールはSPAMではない可能性が高い、という仮定に基づいて、自動的に学習しながらフィルタリングを行う。
2、GSG:メールに含まれる画像を解析して判定する。
3、PDB電子メールヘッダを分析し、そのふるまいからスパム判定を行う。
スパムメールの判定基準値を設定可能。スパムメールでなければあまり考えられない項目がリストアップされている(画面=左)。フィルタリングテクノロジは3種類が用意されている。通常すべて使用でよいだろう。一方、スパムかどうかの判定は2段階で指定する(画面=右)
ピンポイントで指定したいスパムのフレーズや送信元は、ブラックリストで指定しておけばiBayesよりも確実にフィルタリングできる(画面=左)。逆に安全な送信者からのメールは、ホワイトリストに指定しておけば間違ってスパム扱いされることはない(画面=右)セキュリティに“本物の実力”を求める上級者向け
正直に言ってしまうと、Kaspersky Internet Security 6.0は万人向けの製品ではない。インターネットネット初心者からセキュリティ対策についてアドバイスを求められた時は、細かい設定をしなくてもとりあえずPCを守ってくれる扱いやすいソフトか、購読料のかからない格安ソフトをお勧めするのが無難だろう。だが、職業的に機密情報を扱う機会が多かったり、ネットトレーディングなどのために鉄壁のガードを必要としている人には、KIS6ほど安全性を提供してくれるソフトはない。セキュリティ対策には何をおいても実力を求める、それでいてパフォーマンスもなるべく落としたくない、そういったヘビーユーザーには最適のパッケージと言える。
KIS6の設定画面では推奨レベルが設定されてはいるものの、これはパフォーマンスと安全性のバランスを考慮したものだ。つまり、パフォーマンスをある程度犠牲にすれば、導入直後の状態よりもさらに安全性を強化できるということだ。ほとんどの設定項目は安全性を高めるならこちら、パフォーマンスを重視するならこちら、というようにトレードオフの選択肢が用意されている。
このあたりが上級者向けとされる所以だろう。KIS6の設定はむしろチューニングというべきものだ。PCの稼動状況、アプリケーションの利用状況などを考慮しながら、必要以上に高められている安全性を実用上問題のないレベルまで下げ、その一方でパフォーマンスの低下を考慮しながら、さらなる安全性の確保のために追加設定を行う。そうやって自分の環境にあったチューニングを施し、自分のためのセキュリティを構築していくわけだ。
カスペルスキーのスキャンエンジンが数多くOEM提供されている理由には、高い検出力や迅速な新種への対応といった実力に加えて、カスタマイズしやすいシンプルかつ癖のない実直な作りが評価されているのかもしれない。是非、上級者向けセキュリティ製品の実力と柔軟さを試してほしい。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社ジャストシステム
制作:ITmedia +D 編集部/掲載内容有効期限:2006年12月26日
ITmediaはアイティメディア株式会社の登録商標です。