EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

「ウイルスワクチン至上主義」を打破したい―三輪信雄氏がCTOに就任したファイア・アイってどんな会社?

  2013/10/09 10:00

ファイア・アイの最先端サンドボックス技術

ファイア・アイ日本法人でマーケティング・マネジャーを務める佐藤昭知氏
ファイア・アイ
マーケティング・マネジャー 佐藤昭知氏

 ファイア・アイ日本法人でマーケティング・マネジャーを務める佐藤昭知氏によれば、同社の製品は、既存のセキュリティ製品の運用はそのままに、それに加えて「追加レイヤー」として導入するものだという。

 「既に多くの企業がファイアウォールやウイルスワクチン、IPS/IDSなどのセキュリティ製品を導入しているが、これらが問題とせずに社内ネットワークに通してしまっているものの中に、危ういものが含まれてしまっているのが実態。そこでファイア・アイの製品は、こうしていくつものセキュリティ製品が安全として許可して通し中に入って来たものをもう1回分析して、本当に危ないものではないか仔細にチェックする」

 もう1回チェックするといっても、既存のセキュリティ製品と同じことを行っても意味がない。ここで捕らえなくてはいけないのは、既存製品がシグネチャベースで行うパターンマッチングで検出できなかった、未知のマルウェアなのだ。未知であるということは、当然ながらセキュリティベンダーからシグネチャもまだ世に出ておらず、既存のパターンマッチング方式は通用しない。ではどうするか。

 ここでファイア・アイ製品が実行するのが、「サンドボックス方式」によるチェックだ。これは、チェック対象のファイルやプログラムを、仮想コンピュータ環境の中で実際に動作させてみて、疑わしい動きをしないかどうか検証してみるという方法だ。その結果、いかにも「マルウェアっぽい」挙動を示したファイルが見付かった場合、そのトラフィックをブロックし、アラートを上げ、挙動に問題がなかったものだけを社内ネットワークに通す。ここまでチェックすれば、未知のマルウェアであってもかなりの確率で発見することができる。

 ちなみに、このサンドボックス方式を採用したセキュリティ製品は、ファイア・アイ以外のベンダーからも幾つか提供されている。しかし佐藤氏によれば、「ファイア・アイのサンドボックス技術は、他社のものとは一味も二味も違う」という。

 例えば多くのサンドボックス方式では、プログラムを起動する前と実行後の静的なシステム状態の差異をチェックすることで、マルウェアであるか否かを判断する。例えば、「レジストリが更新されていないか」「不審なファイルが残されていないか」といった具合だ。しかしこの方法では、処理の痕跡をプログラム自身が消去してしまえば、チェックをすり抜けてしまう。そこでファイア・アイの製品では、仮想コンピュータ上で対象プログラムが実行中に行ったAPIコールをすべてフックし、その内容を加味した上で判定している。

 「例えば、単にPDFファイルを開いただけなのに通信APIを呼び出して外部と通信しようとしたり、あるいはテンポラリファイル以外にも何かファイルを生成するAPIが呼ばれていたら、やはり怪しいと判断できる。ファイア・アイ製品は、そうしたプログラムの動的な振る舞いまで細かくチェックできる」(三輪氏)


著者プロフィール

  • 吉村 哲樹(ヨシムラ テツキ)

    早稲田大学政治経済学部卒業後、メーカー系システムインテグレーターにてソフトウェア開発に従事。その後、外資系ソフトウェアベンダーでコンサルタント、IT系Webメディアで編集者を務めた後、現在はフリーライターとして活動中。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

バックナンバー

連載:EZ Press

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5