アンチウイルスを根本から変える

トップに戻る
アンチウイルスを根本から変える
クラウド アーキテクチャと行動認識はいかにセキュリティの変革をもたら
し、従来のアンチウイルスを時代遅れにするのか
目次
はじめに: 従来のアンチウイルスは時代遅れに ..................... 1
従来のアンチウイルスが抱える問題 ............................... 2
クライアント/クラウド アーキテクチャ .......................... 2
行動認識 ...................................................... 4
ジャーナリングとロールバック................................... 5
Webroot の対応 ................................................ 5
まとめ:ぜひご体験ください ..................................... 7
提供
はじめに: 従来のアンチウイルスは時代遅れに
「アンチウイルスの終焉」のようなタイトルの記事やブログ投稿を頻繁に見
かけることはありませんか。これにはそれなりの理由があります。従来のシ
グネチャベースのアンチウイルス テクノロジーは急速に時代遅れになって
いるのです。
ただし、アンチウイルスの効果と実用性を蘇らせる新たなアプローチがあり
ます。本書ではその中から以下の 3 つを取り上げます。
• クライアント/クラウド アーキテクチャ
• 行動認識
• ジャーナリングとロールバック
これら 3 つのアプローチを組み合わせて、アンチウイルス テクノロジーを
大幅に見直し、アンチウイルスを根本から変えることで、今日のマルウェア
を検出して撃退できる新たなタイプのテクノロジーが生まれています。
©2012 Webroot
トップに戻る
従来のアンチウイルスが抱える問題
従来のアンチウイルス製品のベースとなるのは、エンドポイントで実行される
シグネチャ認識です。この方法には次のような弱点があります。
 認識される脅威の数が増えて膨大な量になっているため、エンドポイン
ト システムをシグネチャで更新し続けることは現実的ではありません。
また、エンドポイントがファイルを既知のシグネチャすべてと比較する
のは不可能です。1
 ハッカーやサイバー犯罪者は、ボットネットなどの手口を使って、シグ
ネチャがエンドポイントに配布される前にゼロデイ脅威を拡散させま
す。
 特定の個人や組織を標的にしたターゲット型脅威の場合、シグネチャが
まったく存在しないこともよくあります。
 ハッカーは、マルウェア暗号化、サーバーサイド ポリモーフィズム、QA
テスト (マルウェアが主要なアンチウイルスで検出されるかのテスト)
のような手法を利用して、マルウェアをアンチウイルスから隠蔽し、シ
グネチャで認識できないようにします。2
こうした理由から、多くの情報セキュリティ専門家が、シグネチャベースのア
ンチウイルス製品に最新のきわめて危険な形態のマルウェアをブロックする能
力があるのか、疑問を持つのも無理はありません。3
クライアント/クラウド アーキテクチャ
従来のアンチウイルス製品の「ファット クライアント」アーキテクチャは、エ
ンドポイント システム上の重いモジュールを利用して、疑わしいファイルを脅
威シグネチャと比較します。この構成には、重大な欠点があります。
 マルウェア スキャンとシグネチャ比較により、エンドポイントの処理が
遅くなり、生産性が低下してユーザーにストレスを与えます。場合によ
っては、ユーザーがアンチウイルス ソフトウェアをオフにしてしまうこ
とさえあります。
 何千もの新しいシグネチャをエンドポイントに送信する必要がありま
す。これは 1 日あたりエンドポイントごとに 5 MB に達することもあ
り、帯域幅を占拠して、システム管理者による監視が必要になります。
 多くの場合、ローミング ユーザーとリモート ユーザーは、VPN 経由で
会社のネットワークに接続するまで最新のシグネチャ更新を取得できな
いため、ゼロデイ攻撃にさらされます。
2 ©2012 Webroot
トップに戻る
クライアント/クラウド アーキテクチャは、この仕組みを抜本的に変えます。
エンドポイントに必要なのは非常に小さなクライアントのみです。このクライ
アントは新しいファイルを検出し、それらのファイルのハッシュ (シグネチャ)
を作成します。ハッシュはクラウドベースのサーバーに送信され、大規模なシ
グネチャ データベースと比較されます。応答がエンドポイント システムに返
送されます (次のページの図 1 を参照)。
1
AV-TEST Institute は、毎日 75,000 を超える新しい有害なプログラムを登録し、9,000 万を超える亜種が存在すると推定しています: http://www.
av-test.org/en/statistics/malware/.。
2
Why relying on antivirus signatures is simply not enough anymore、Dancho Danchev、Webroot、2012 年 2 月 23 日:
http://blog.webroot.com/2012/02/23/why-relying-on-antivirus-signatures-is-simply-not-enough-anymore/。
3
Antivirus: Dead, Dying, or Here to Stay?、Dave Shackleford、IANS Research、2012 年 1 月 6 日:
http://www.iansresearch.com/blogs/ians-perspective/antivirus-dead-dying-or-here-stay、および Is Antivirus Becoming Obsolete?
、Ken Presti、CRN Magazine、2012 年 10 月 3 日: http://www.crn.com/news/security/240008434/is-antivirus-becoming-obsolete.htm などを
参照。.
3 ©2012 Webroot
トップに戻る
図 1:クライアント/クラウド アーキテクチャでは、シグネチャ マッチングの負荷をクラウ
ドに移し、大容量シグネチャ ファイルのダウンロードをなくして、リモート ユーザーの保
護を強化できます。
クライアント/クラウド アーキテクチャには、従来のアンチウイルス製品に比べ、
大きな利点があります。
 エンドポイントで行われる処理はほとんどないため、エンドユーザーの生産
性に影響を与えません。
 ネットワークで交換されるのは、何千個もの新しい脅威シグネチャではな
く、システムごとに数十個のハッシュ (通常は 1 日あたり約 120 KB) のみ
であるため、帯域幅の使用やネットワーク パフォーマンスに感知できるよう
な影響を与えません。
 クラウドベースのシステムでは、大規模なシグネチャ データベースをホスト
し、大量のサーバーを使用してパターン マッチングを実行できるため、シグ
ネチャ比較の完全性とスピードが向上します。
 クラウドベースのシステムでは、テスト ラボ、アンチウイルス クリーニン
グ ベンダー、セキュリティ ベンダー、数千社の企業、数百万のユーザーか
らリアルタイムに脅威データ フィードを取り込んでいるため、ゼロデイ脅威
は識別されるとすぐにブロックできます。
 ローミング ユーザーとリモート ユーザーは、インターネットに接続すると
直ちにゼロデイ攻撃から保護されます。
 システム管理者は、ファット クライアントのインストールや、全エンドポイ
ント システムへのシグネチャ更新の配布に時間を割く必要がなくなります。
ファット クライアントのアンチウイルス製品は、事実上時代遅れになっています。
4 ©2012 Webroot
トップに戻る
リアルタイムのシグネチャ マッチングの実用性と効果を高める唯一の手段がクライ
アント/クラウド アーキテクチャなのです。
5 ©2012 Webroot
トップに戻る
行動認識
ただし、最も高速で包括的なシグネチャ マッチングでも、シグネチャが存在しなけ
れば、ゼロデイ攻撃およびターゲット型攻撃を検出できません。
これらの脅威に対処するうえで鍵となる革新的な技術が行動認識です。これをクラ
イアント/クラウド アーキテクチャと組み合わせます。
行動認識テクノロジーにより、プログラムを安全な「サンドボックス」内で実行
し、マルウェアの典型的行動 (レジストリ キーを編集する、電子メール配布リスト
にアクセスする、アンチマルウェア パッケージの無効化を試みるなど) がないか監
視できます。
ただし、このプロセスは言うほど簡単ではありません。有害な行動と安全な行動を
見分けるパターンは複雑になりがちです。こうしたパターンを取得し、大規模な脅
威行動データベースと比較する必要があります。また、効果を上げるには、行動デ
ータベースを絶え間なく更新する必要があります。
図 2 は、行動認識をクライアント/クラウド アーキテクチャに実装する方法を表し
ています。このプロセスでは、次の処理が行われます。
1. 未知のアプリケーションや実行可能ファイルは、エンドポイント システムの
サンドボックス内で実行されます。
2. ファイルのオープン/読み取り/書き込み、レジストリ キーの変更などのアク
ティビティは記録され、行動データ (アクティビティのリスト) はクラウド
ベースのサーバーに送信されます。
3. 行動データは、大規模なマルウェア行動パターン データベースと比較され、
行動が安全か有害かを判定するのに役立つ、一連のルール (ヒューリスティ
ック) によって分析されます。
4. 応答はエンドポイント システムに返送され、隔離すべきプログラムや実行を
許可すべきプログラムが指示されます。
図 2: 行動は安全なサンドボックス内で取得され、マルウェア行動パターンおよびルールと
比較されます。
6 ©2012 Webroot
トップに戻る
このアプローチでは、シグネチャがなくても、悪意のあるプログラムをそのアクシ
ョンで識別します。
さらに、パターンおよびルール分析はクラウド システムで行われるため、エンドポ
イントのパフォーマンスに影響を与えずに、きわめて大規模な行動データベースに
対してチェックを行うことができます。そのうえ、新しい脅威のデータを外部ソー
スからすぐに入手でき、新しく発見された行動パターンを直ちに使用して他のすべ
てのユーザーを保護できます。
ジャーナリングとロールバック
とはいえ、行動認識もごく短期間では十分な効果を得られません。マルウェア作成
者によっては、巧妙にマルウェア行動の発生を遅らせてサンドボックスではすぐに
現れないようにしています。
そのため、アンチウイルスを根本から変える第 3 の要素として、長期的な行動分析
をジャーナリングおよびロールバックと組み合わせます。
このアプローチにより、プログラムは実行できますが、ファイル、レジストリ キ
ー、メモリの場所、その他のエンティティへの変更はジャーナルに記録されます。
これで、ソフトウェアは各変更の「前」と「後」の状態を作成できます。
行動分析でプログラムが有害と識別されると、プログラムを削除でき、プログラム
が加えた変更をすべてロールバックして、エンドポイントを既知の正常な状態に戻
すことができます。
このアプローチには次の利点があります。
 シグネチャ マッチングや短期間の行動認識では検出できないマルウェアの影
響を軽減します。
 感染したシステムのクリーンアップとイメージの再作成に必要な大量の作業
をなくすことができます。調査では、この作業がサポート スタッフの時間に
占める割合がほぼ 1/3 に達することが判明しています。
 同じ脅威を他のシステムや他の企業でも認識できるようになります。
Webroot の対応
こうした概念を実装し、宣伝のとおりに実際の効果を出している企業はあるのでし
ょうか。
あります。Webroot® SecureAnywhere™ Business - Endpoint Protection では、これ
ら 3 つのアプローチをすべて使用しています。次に、その仕組みと効果について説
明します (次のページの図 3 を参照)。
Webroot® SecureAnywhere™ Business - Endpoint Protection が使用するエージェン
トは 700KB 未満で、インストールは 6 秒以内に完了します (独立系テスト ラボ P
assMark Software による計測結果)。インストールに通常 3 分以上かかる、従来の
アンチウイルス製品で使用される数百 MB のファット クライアントとは対照的で
す。4
7 ©2012 Webroot
トップに戻る
テスト結果は、クライアント/クラウド アーキテクチャによって、アンチウイルス
ソフトウェアがエンドポイント システムのパフォーマンスに与える影響を大幅に変
えられることを示しています。
4
本セクションのパフォーマンス計測値の引用元: PassMark Software、Webroot SecureAnywhere Endpoint Protection Cloud vs. Seven Traditional
Endpoint Security Products、2012 年 2 月更新: http://www.webroot.com/En_US/sites/land-business-migration/。PassMark Software、2012 Con
sumer Security Products Performance Benchmarks, Edition 4、2012 年 4 月 12 日更新: http://www.passmark.com/ftp/totalprotectionsuites-a
pr2012.pdf. も参照。
8 ©2012 Webroot
トップに戻る
PassMark Software で一般的な 8 つのアンチウイルス製品を対象に実施されたスキ
ャン時間のテストにおいて、クライアント/クラウド アーキテクチャを採用してい
る Webroot は抜群のスピードを示しました。初回のシステムのフルスキャンには 5
0 秒しかかからず、第 2 位の製品の半分未満、平均時間 (2 分 4 秒) のわずか 4
0% でした。初回スキャン時のメモリ使用量は 12 MB で、第 2 位の製品のわずか 2
1%、平均 (120MB) のなんと 10% です。システムがアイドル状態のときのメモリ使
用量は 4MB で、平均のわずか 6% という結果になりました。
SecureAnywhere Business - Endpoint Protection のクラウド コンポーネントが W
ebroot Intelligence Network です。ここで 75 TB を超えるシグネチャ、行動、
「不正 URL」、その他の脅威データを提供します。エンドポイント システムのファ
ット クライアント製品で管理できる容量とは桁違いです。つまり、Webroot では、
はるか多くのマルウェア亜種を検出でき、行動認識を有効活用できるのです。
図 3: Webroot のクライアント/クラウド アーキテクチャと Webroot Intelligence Network
Webroot Intelligence Network は、25,000 社を超えるパートナーと企業ユーザ
ー、数百万の個人ユーザーからの入力データで絶えず更新されているため、リモー
ト ユーザーでも本社勤務のユーザーでも、脅威データが使用可能になり次第アクセ
スできます。
さらに、Webroot Intelligence Network のインフラストラクチャは、世界中に配備
された完全冗長構成のクラウド リソースを使用して、最高レベルの信頼性を提供す
るとともに、待ち時間を最小限に抑えています。
9 ©2012 Webroot
トップに戻る
まとめ:ぜひご体験ください
従来のシグネチャベースのアンチウイルスは時代遅れになっています。ただし、
まったく新しい概念でアンチマルウェアの効果を蘇らせることができます。本書
では、その中の 3 つを取り上げました。
 クライアント/クラウド アーキテクチャ
 行動認識
 ジャーナリングとロールバック
これらのアプローチを組み合わせることで、パフォーマンスを高め、検出できる
マルウェアの範囲をはるかに拡大し、システム管理者とサポート スタッフがシ
グネチャ更新の配布や感染したシステムのクリーニングにかける時間を大幅に減
らすことができます。
ただし、これは机上の説明ではありません。こうした概念をお客様自身の環境で
実際に動かし、確認することができます。
詳細については、
http://www.webroot.com/En_US/business/secureanywhere-endpoint/ をご覧く
ださい。
SecureAnywhere Business - Endpoint Protection の無料試用版については、
http://www.webroot.com/En_US/business-trial.html にアクセスしてくださ
い。
10 ©2012 Webroot