全てのサイバー攻撃を防ぐ洗練された技術が存在すればいいのですが、セキュリティにおいて “特効薬” の存在が迷信であることは単純明白です。しかしながら、完璧な対策がないことは、模範的な防御システムの存在を否定しているわけではありません。トレンドマイクロでは、27年以上にわたり、絶え間なく防御技術を磨いてきました。そして、今回我々は模範的な防御システムとして、成熟した技術と新しい AI(人工知能)技術のブレンドによるセキュリティアプローチ「XGen」を提唱します。
法人組織が直面する今日の脅威は、単に増加しているだけではありません。脅威は年々加速し、より巧妙になり、さらに高度になっています。多くのベンダがそうした脅威に対し、サンドボックスや振る舞い検知、最近では「machine learing(機械学習)」といった新たな機能を宣伝しています。しかし、ITセキュリティ製品の導入に携わるユーザは理解できると思いますが、例えそれがどんなに強固な対策技術であっても、たった一つの技術だけで自組織のエンドポイントを完璧に守ることはできません。
セキュリティの隙間を多層で埋める
トレンドマイクロのソリューションは、例えば不正なパターンファイル、不正な振る舞い、ブラックリストに登録されたファイル等、そうした既知の脅威から多くのユーザを長い間守ってきました。それと同時に、トレンドマイクロは脅威概況に突如あらわれる新たな危険に対抗するため、常に最新の技術を用いてソリューションを改善してきました。成熟した技術と高度な機械学習型検索の融合で、効果的に脅威を検知しブロックするためのアプローチが、多層防御、様々な世代の脅威防御技術の連動、既知と未知の脅威から法人組織を守る対策につながります。
こうした多層防御においては、各防御レイヤに長所と短所があります。もしマルウェアが 1つの防御レイヤを突破し侵入したとしても、多層防御であれば、別の防御レイヤでマルウェアをブロックする可能性がまだ十分にあります。
それでは、こうした防御レイヤを詳細に見てみましょう。
- パターンベースの検出
多くの既知の脅威を防ぐため、ファイルレピュテーションと Webレピュテーション、そしてコマンド&コントロール(C&C)通信をブロックする技術を組み合わせる検出方法です。しかし、未対応のマルウェアや巧妙に細工されたマルウェアには対応できません。 - 脆弱性攻撃対策
マルウェアそのものをブロックする対策とは異なり、アプリケーションやオペレーションシステム(OS)の脆弱性利用の攻撃を防ぐことに重点を置いた対策です。これは、ホスト型ファイアウォール、脆弱性防御、侵入防御と横展開の検出といった技術が挙げられます。 - 振る舞い検知
ファイルを実行して、OSやアプリケーション、スクリプトと関わる動きの中で、不審または通常と異なる振る舞いがないかを検証する技術です。もしブラックリストに登録されていないファイルの場合でもこの検証が実行されます。この技術は、暗号化型ランサムウェアのブロックに有効です。これは、スクリプト対策、インジェクション対策、ブラウザエクスプロイト対策のような技術を含んでいます。 - 機械学習型検索
多層防御のいたるところに展開されている技術です。マルウェアかどうかを予測するため、ファイルや挙動を詳しく検証する数学的なアルゴリズムを使用します。 - フォレンジック、エンドポイントでの検出と対応
システムレベルの動きを詳細に記録し、報告する技術です。この技術によって、攻撃の本質と影響範囲を分析することができ、マルウェアが検出された場合に対応します。
誇大広告を信用しない
最近出てきた複数の ”次世代” ベンダによって、機械学習が新たな技術としてもてはやされていますが、機械学習は新たな概念ではありません。トレンドマイクロは、10年以上にわたり、スパムメール対策の強化や不正なソーシャルメディアアカウントの検出などを実現するため、クラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」でさまざまな機械学習技術を活用してきました。機械学習アルゴリズムは、膨大な既知の安全なファイルと不正なプログラムを用いて強化され、ファイルがマルウェアかどうかを予測するため、ファイルや動作を検証します。今日、SPNは毎日 50万の新たな脅威を見つけ、ブロックしており、これによって機械学習アルゴリズムの強化に質の高いデータを大量に用いることができます。
また、競合他社と「XGen」が異なる点は、機械学習型検索に対する双対アプローチで、機械学習型検索の誤検出率を改善するノイズキャンセル技術が用いられます。実行前に機械学習型検索でファイルを検出することに加え、トレンドマイクロのソリューションは実行中の振る舞いを詳細に分析します。サイバー犯罪者は常に攻撃の手法やツールを改良してきます。その結果として、いくつかの脅威は実行中のみ特定することができるように設計されています。ノイズキャンセル技術は、誤検出が IT管理者に与える影響を小さくします。これらには以下が含まれています。
- Censusによる検証
問題となるファイルがどの程度流布しているか、また、どの頻度で確認されているかに応じて、不正なファイルであるかどうか判定します。この技術は、マルウェアの一機能である「ハッシュファクトリ」に有効です。なお、ハッシュファクトリとは、定期的に不正コードを挿入して亜種を次々と作成し、検出を困難にする機能となります。 - ホワイトリストによる検証
既知で安全なファイルとアプリケーションかどうかをチェックする技術で、誤検出を減らすために用いられます。
ノイズキャンセル技術に加えて、この双対アプローチを機械学習型検索に用いることで、効果的にファイルを区別できます。
エンドポイントを守るセキュリティの鎧
トレンドマイクが日々ブロックする 50万の新たな脅威の中の多くが、攻撃者にとって法人組織に侵入するための仮想の入口となるエンドポイントに向かっていきます。ユーザの行動の変化、高度かつ多様な脅威、クラウドやモバイル、IoT といった新たな技術が、企業の大惨事を引き起こす機会をサイバー犯罪者にもたらしています。多くの ”次世代” と呼ばれるエンドポイントセキュリティベンダが、そうした脅威を防ぐ特効薬として、自社製品の機能を宣伝していますが、もしそれらが真実であれば、素晴らしいことでしょう。
実際には、法人組織がエンドポイントへの脅威から自組織を守る唯一の方法は、パターンベースの検出から高度な機械学習型検索に及ぶ幅広い技術を用いるセキュリティの多層防御のアプローチです。
「XGen」は最大限の防御力を実現するため、複数の防御レイヤを組み合わせるアプローチです。最新の複合的かつ多種多様なエンドポイントの脅威と IT管理者が戦うために必要なのは、セキュリティの特効薬とうたわれる一つの技術ではなく、成熟した技術と新しい AI(人工知能)技術のブレンドによる「XGen」のアプローチのようなセキュリティの鎧です。また、トレンドマイクロでは「XGen」に関するホワイトペーパー「セキュリティに特効薬はない 成熟した技術と新しい AI(人工知能)技術のブレンドによるセキュリティアプローチ」を公開しました。詳細については以下のダウンロードページを参照してください。
「セキュリティに特効薬はない 成熟した技術と新しい AI(人工知能)技術のブレンドによるセキュリティアプローチ」
ダウンロードURL:www.go-tm.jp/xgen_sb
【更新情報】
| 2016/11/21 | 12:50 | 本文の一部を修正しました。 |
参考記事:
翻訳:シニアスペシャリスト 山外 一徳