ニュース
2004/02/27 20:25:00 更新


Symantec CTOが挙げたこれからのウイルス対策を支える4つの新技術

RSA Conference 2004の基調講演に米SymantecのCTO、ロバート・クライド氏が登場し、4種類の新しいウイルス対策技術について紹介した。

 2月26日、RSA Conference 2004の基調講演に米SymantecのCTO、ロバート・クライド氏が登場した。同氏は、今後のインターネットの脅威に対応するには、これまでとは根本的に異なるやり方を取らなければならないと語っている。

 クライド氏はまず、同社が行った調査を元に、悪意あるコードやネットワーク侵害といった攻撃の数がこの数年で急激に増加していることを指摘。しかもこれらの攻撃は、より複雑で、深刻なものへと変化している。Slammerの例が顕著だが、ウイルスが世界中に広がるまでの時間は確実に短くなっており、「脅威の発生と対策の間にギャップが生じている」と同氏は言う。

 「既に発射された弾丸をどうやって止めればいいのだろうか? 弾丸は1つだけではなく、何百万発も打ち込まれている。これは非常に困難な課題だ」(クライド氏)。

クライド氏

既に発射された弾丸を防ぐには、リアクティブな対策ではなくプロアクティブな防御が必要と述べたクライド氏

 対処策は、「プロアクティブな防御」にある。クライド氏はその具体的な形として、現在進行形で開発・研究が進んでいる4種類の技術に触れた。

 1つは、ビヘイビア(振る舞い)に基づく防御だ。ウイルスが周囲に広まろうとする動きをブロックし、ライフサイクルを断ち切ってそれ以上広まらないようにする。

 2つめは、幾つかの製品で実装が始まっているプロトコルアノーマリ分析によるブロックだ。パケットの中身を検査して、正常ではないと判断したものを検出、遮断する仕組みである。

 その次に同氏が挙げたのは、ウイルスの「スロットル」という比較的新しい概念だ。ウイルスの動きを「絞り込む」ことによって感染のスピードを遅らせ、対処するという技術である。ウイルスに感染したPCの影響を最低限にとどめ、それ以上の増加を封じ込めるわけだ。

 ちなみにこの「スロットル」技術については、クライド氏の後に登場した米Hewlett-Packardのジョー・パト氏(HP研究所)も言及している。ネットワークトラフィックを絞り込むことによって、人が対処できる程度にまでウイルスの動きを遅くし、対処を取るというものだ。

 最後は包括的な悪用コード(exploit)のブロックである。この技術では、数ある悪用コードやその発展であるウイルス/ワームごとにシグネチャを用意して対処する従来のやり方に代わり、原因となる脆弱性そのものに対処を施す。「この場合も、アップデート作業がなくなるわけではない。しかしそのアップデートは、実際にexploitが登場する前に行われる」(クライド氏)。

 同氏はこれら一連の技術によって、インターネットの防御は変わっていくだろうと述べている。

 残念なことに、状況は差し迫っている。昨年登場したBlasterの影響で稼動が停止した原子力発電所がその例だ。

 脅威が懸念される新たな分野もいくつか浮上している。たとえばVoIPがそうだ。クライド氏は、VoIPはそのコストの低さから人気が高まっているが、インフラがワームによるDoS攻撃にさらされることにより、通話が行えない状態になる恐れもあると指摘した。携帯電話やWi-Fiといったワイヤレスの分野を狙った攻撃にも注意が必要という。

 「多くの企業が業務効率の向上を狙ってサプライチェーンを構築している。インターネット経由でつながっていることも多い。もしワームによってサプライチェーンが停止すれば、業務プロセスは滞り、企業に大きなインパクトを与えることになるだろう」(同氏)。

 インターネットがもたらす恩恵を十分に活用するには、ワームをはじめとする脅威への対処が必要だ。だが従来型の方法では間に合わない。講演の中で紹介した4つの技術を活用し、業界や教育機関、さらには政府などが共同で取り組みを進めることが重要だと語り、クライド氏は講演を締めくくっている。

関連リンク
▼Symantec
▼RSA Conference 2004

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.



Special

- PR -

Special

- PR -