Intel×McAfeeの「DeepSAFE」でサイバー犯罪者の1歩先へ：担当者に聞く（1/3 ページ）

[後藤治，ITmedia]

セキュリティ業界を変革するハードウェア支援型セキュリティ

　金銭の詐取を目的として不特定多数を対象に行われる従来型のサイバー攻撃が増加する一方で、Shady RATやAurora、Stuxnetに代表される、特定の企業やインフラを狙った標的型攻撃が現実化している。そしてマルウェアも、怠惰な一般ユーザーに向けた“数撃てば当たる”攻撃から、勤勉なシステム管理者を相手に自身をrootkitに隠し、OSの深いレベルで動作する高度なものへと進化してきた。

　こうした通常のセキュリティソフトウェアでは検出が難しい脅威に対し、McAfeeはハードウェア支援型のセキュリティ技術「McAfee DeepSAFE」で対抗していくという。従来のセキュリティ技術とは何が違うのか。McAfee Labsのセキュリティリサーチ担当ディレクター、デビット・マーカス氏に話を聞いた。

――　まずはじめに、最新のセキュリティ動向についてお聞かせください

マカフィーラボのセキュリティリサーチ担当ディレクター、デビット・マーカス（David Marcus）氏。見た目は少しだけ怖いですが、気さくな方です

マーカス　サイバー世界の脅威は2つの大きなカテゴリーに分けられる。1つは広範囲に行われる従来型の攻撃、もう1つがターゲット型と呼ばれる、特定の企業などに標的を絞って行われる攻撃だ。通常の攻撃でいうと、現在では1日当たり6万件以上をマカフィーラボで検出している状況で、数年前には数百だったこと考えると爆発的な増加だ。

　一方、特定の企業が特定の分野において成功している、あるいは特定の情報を持っているという理由から攻撃対象になってしまう標的型の攻撃は、もっと複雑で、攻撃自体を隠そうとする。いずれの攻撃も、その発生件数や洗練度合いは深刻化しているが、我々が特に脅威を感じているのは後者だ。

　標的型の攻撃では、ターゲットがどんなシステムを使っているのか、どんなセキュリティを持っているのか、使用者は誰かといったあらゆる情報を調べ上げ、全体の中の1つのデータを狙って行動する。標的型攻撃を防ぐのが難しい理由は、どれだけきちんと対策をしていても、たった1つのミスから攻撃者に手がかりを与えてしまうということだ。例えば、Webサイトのパッチを忘れていた、そういうたった1つのミスがいずれ攻撃者に突かれて、内部に侵入を許してしまう。攻撃側は圧倒的に有利だ。たった1つのミスを探せばいい。

　そしてもう1つ、これまでのセキュリティ機能が、守るべきデータと同じレイヤーにある、という問題もある。同じ場所に存在するデータを、同じ場所にあるセキュリティ機能で保護するというのは難しいことだ。

　そこで我々はインテルと協力し、保護機能をOSとは別の場所に移した。つまりハードウェアに保護機能を実装することで、より効果的に攻撃を検知できるようにした。この機能はCore i3／i5／i7のエクステンションを利用する仕組みだ。

――　DeepSAFEですね。それはCore iシリーズでしか利用できないのですか？ 例えば、Atomやそのほかのチップでは？

マーカス　そう、現時点でDeepSAFEを利用できるのは、Core i3／i5／i7に限られる。もちろん、Atomやそのほかのシステムについても話し合いはしている。あくまでも最初のリリースではDeepSAFEプラットフォームがCore i3／i5／i7に限られるというだけだ。

――　すでに出荷したシステムに対してDeepSAFE機能を組み込むことは可能なんですか？

マーカス　もちろんできる、システムがCore iを使っていればね。インテルCPUはVTxのようなエクステンションを、これまで誰も使っていなかったものも含めて、非常にたくさん持っている。我々がCore iを選んだのも必要な機能がすでに備わっていたからだ。補足するなら、今回のはあくまでもバージョン1で、rootkitの検出だけに特化しているが、次のバージョンでは別の目的のために動作する機能を追加していくだろう。

――　エクステンションを利用するということは、ほかのセキュリティベンダーが類似の機能を開発することは可能なんですね？

マーカス　いい質問だね。その通り、できる。しかし、我々はインテルと非常に密接な関係を持っており、そのうえでDeepSAFEの開発には24カ月を要した。当然ほかのセキュリティベンダーも同じことをしてくるだろうが、おそらくもっと時間がかかるはずだ。そしてそのときには、我々は先に進んでいる。ただ、このプラットフォームを投入することで、セキュリティ業界を完全に変えてしまうことになるだろうとも思っている。いずれにせよ、他社は追従せざるを得ないだろう。

――　もう1つ、現在のモデルでは、OSよりも深いハードウェアの部分にDeepSAFEがあり、その上のアプリケーションレイヤーにもMcAfeeのセキュリティ製品があるようですが、他社のセキュリティソフトを利用することはできますか？

マーカス　もちろん、他社製品と共存できればベストだが、現在は自社製品とぶつからないように担保している段階だね。ただ、1ついえるのは、DeepSAFEによってアプリケーションレイヤーにおけるMcAfee製品の性能向上も期待できるということだ。rootkitの排除をDeepSAFEにまかせることで、その部分に割いていたリソースを別のマルウェア対策に効果的に振り分けることができるようになる。これはいい組み合わせだと思う。

――　DeepSAFEのアップデートはどのように行われるのでしょうか

マーカス　まず、アップデート機能はほかの製品と同様のレベルのものは備わっている。ただし、DeepSAFEはビヘイビア技術を使っており、シグニチャを必要とするものではないので、DATファイルのように頻繁なアップデートは行われない。今後フィーチャーを追加したり、ほかのハードウェア支援型のセキュリティを追加する準備ができたときには、いつでもアップデートできる仕組みになっている。

　ここで（DeepSAFEがどのように動くか）簡単な例を挙げよう。OS上のセキュリティ機能では、rootkitでもマルウェアでも、スキャンをして検知したら対処する、といったように遅延が起きてしまう。一方、DeepSAFEは、OSを超えたところでメモリそのものを監視しているため、攻撃があった際に、本当のリアルタイムで検知することができるわけだ。