ヒューリスティックはセキュリティ対策の解決策ではない

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

新聞などで様々なヒューリスティック方式によるセキュリティ対策が新たな防衛策として報道されていることに違和感を感じざるを得ない。15年程前からあるサンドボックス方式のヒューリスティックに加え、コードスキャン、トラップ、ビッグデータ解析など様々な方法がヒューリスティックスキャンに、実装されてきているが実際には新種ウイルスには対処しきれていないのが現状だ。

泥棒

ウイルスを作成するのが個人であった十数年前と異なり、現在は組織化された犯罪者集団や国家機関がウイルスの大半を作成しており、1日に100万件の新種ウイルスが業務として出荷されている現状にある。
主要なセキュリティ対策ソリューションは、国内外問わず広く販売されていることから、こうした組織にも販売されており、出荷前検査に利用されている。市販しているということは、分かりやすく言うと「敵に自分の盾を売り、敵が新たな剣を作るために試験をさせているようなもの」だからだ。
ヒューリスティックスキャンに代わる仕組みは、実は既に存在しており、欧州と中国ではセキュリティ意識の高い企業では活発に運用されている。それが「ホワイトリスト方式」だ。ホワイトリストは、悪者を発見するのではなく、善良なものだけに利用を限定することで、その他すべてを利用させないようにする考え方だ。
例えば、エンドポイントセキュリティ製品で唯一、真のホワイトリストエンジンを搭載している「PC Matic」では、世界中で善良に利用されているアプリケーションやドライバ等を数十万件登録してホワイトリストとしている。脆弱性が発見されるとホワイトリストから解除することで、良質なアプリケーションのみが起動許可される。野良アプリケーションは一切起動することができないので、どんなウイルス(プログラム)であろうと動作することができない。
ファイアーウォールでは、社内で利用するSAP、Microsoft Office、OneDrive、050Plusなど社内で利用するアプリケーションが利用するアプリケーションシグネチャと呼ばれる通信プロトコル情報を5000種類程登録済で、これらのみを通信許可することでキーロガーやウイルスによる通信を一切遮断することが可能だ。この機能は、次世代ファイアーウォール装置のアプリケーション制御機能が担っている。BitTorrentやWinnyのプロトコルを停止することも可能だが、こうしたブラックリスト運用では新たなものへの対処ができない。このため必要なプロトコルのみを透過させることで、未知の脅威への対応が可能となるのだ。
ブラックリストは、1日100万件の新種ウイルスが発生していることから既に破綻していて、ヒューリスティックスキャンも敵の手に渡っていることから、回避されてしまう。可能なのは、善良なアプリケーション起動、そしてそのプロトコルのみを利用可能とするソリューションなのである。
エンドポイントセキュリティ製品は、PC Matic。ファイアーウォール装置は、クラビスター社の次世代ファイアーウォール製品が現時点ではそれに該当する。

 

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る