「Windows API監視制御技術」でホワイトリスト型対策の容易な運用を可能に
では、Defence Platformは一体どうやってマルウェアの不正動作を検知するのか。ここで使われているのが、ハミングヘッズが独自に開発した「Windows API監視制御」という技術だという。プログラムによるWindows API呼び出しを常時監視し、疑わしいAPI呼び出しのパターンを検出した際にはその動きを自動的にブロックする。この技術はもともと、同社が電力会社や保険・金融企業、官公庁などに10年以上に渡って提供してきたセキュリティ製品「SecurityPlatform」で培われたもので、極めて高い精度を持つという。
▲Windows API監視制御技術
出所:Security Online2015/ハミングヘッズ株式会社
講演資料「ダメージコントロールの前にもう一度検討すべき標的型攻撃対策とは」より
「単にWin32 APIを監視するだけでなく、カーネルレイヤーやアプリケーションレイヤーのAPI呼び出しも監視しているため、プログラムのあらゆる不正動作を検知できる。またAPI呼び出しのログも記録しており、そのままフォレンジックで利用可能できるほど詳細な内容を持つと同時に、できるだけ扱いやすいよう日本語で分かりやすく整理されている」(石津氏)
ちなみに、多くのセキュリティ製品は「疑わしいもの以外は許可する」という「ブラックリスト方式」を採用しているが、Defence Platformは「あらかじめ許可したプログラム以外は実行させない」という「ホワイトリスト方式」をとっている。前述の不正動作の検知も、基本的には「このプログラムをホワイトリストに加えるかどうか」の判断のために用いられる。
石津氏は、「日々膨大な数の新種マルウェアが生まれている今日、ブラックリスト方式がもはや効力を発揮できないのは明らかで、現実解はホワイトリストしかない」と述べつつ、一方のホワイトリスト方式もこれまでは動作を許可するプログラムを一つも漏らさずリストに加える必要があり、設定や運用が極めて難しかったとも指摘する。
しかしDefence Platformはよりインテリジェントなホワイトリスト技術で、従来のホワイトリスト型対策の欠点を克服しているという。一般的に使われるビジネスアプリケーションは事前にリストアップされているほか、Windows API監視の結果を基に、危険が認められた動作のみをホワイトリストに登録するかどうか判断すればいいという。従ってユーザーは、Defence Platformによって疑わしいAPI呼び出しが報告されたプログラム動作のみをダイアログやログから個別に判定するだけで済む。
標的型攻撃対応を解説した新刊を抽選で10名様にプレゼント!
標的型攻撃対応の専門書『Defense Platform 標的型攻撃対応セキュリティ導入ガイド』が翔泳社から1月7日に刊行されました。刊行を記念し、抽選で10名様に本書をプレゼントいたします。Security Online Dayでも講演されているハミングヘッズさん監修のわかりやすい解説本となりますので、ご興味のあるかたはこの機会にお申込みください!
『Defense Platform 標的型攻撃対応セキュリティ導入ガイド』
- 目次:
- Chapter1 企業を取り巻くリスク ~ウイルスの歴史
- Chapter2 標的型攻撃とは何か
- Chapter3 エンドポイントセキュリティとDefense Platform
- Chapter4 ビジネスエディションの導入方法
- Chapter5 DePの基本設定ホワイトリストの作成
- Chapter6 ディフェンスモードへの移行
- Chapter7 DePをより便利に使う
- Chapter8 DePのログを読む
