シマンテック、スキャン情報やレピュテーション技術を活用した機能
セキュリティの強化と負荷軽減を同時に行うアイデア
シマンテックは6月、新しい技術を加えた法人向けセキュリティ製品「Symantec Endpoint Protection(SEP)12」を発売する。同製品には、同社が数年かけて開発したレピュテーション技術「Insight」や同技術を応用したPCの負荷軽減技術、機能が加えられている。
これまでマルウェア対策は、定義ファイルとのパターンマッチングで行われてきた。これは既知の脅威に対しては有効であったものの、未知の脅威には対応できなかった。しかし、同社はレピュテーション技術「Insight」により、マルウェアの分布状況や生存期間を可視化して提示することで、未知の脅威に対抗している。
このInsightに蓄積されたマルウェア情報。この情報を活用したサーバにかかる負荷を抑えながらもセキュリティを強化する機能が、「スキャンレス」である。
スキャンレスでは、Insightのマルウェア情報を参照して問題のないファイルに“信頼済み”という属性を付加。信頼済みファイルをスキャン対象から除外することで、スキャンにかかる時間を短縮する。プレス向けの説明会では、スキャンレス非搭載のSEP11と搭載しているSEP12をそれぞれインストールした同スペックのPC2台でスキャンスピードを比較するデモが披露された。
初回スキャンでは、SEP11搭載PCが17分にSEP12搭載PCが16分と大差はなかった。しかし2回目のスキャンでは、前者は初回と同様に17分ほど時間がかかったが、後者のスキャンは5分程度で完了し、スキャンレスの効果が顕著に表れた。この技術を仮想化環境向けソリューションに適用し、サーバ1台当たりの負荷が大きくなりやすい仮想化環境において、負荷を抑えながらこうセキュリティを実現するための新機能をリリースした。
そうした新機能の1つ「共有インサイトキャッシュ」は、社内の仮想マシン間でマルウェア情報の共有を行う。1台の仮想マシンのスキャン結果を「Shared Insight Cache Sever(SICサーバ)」に保存。他の仮想マシンでスキャンを実施する際は、すでにスキャンが済んだ仮想マシンの結果を利用して、信頼済みのファイルを除外してスキャンを実施する。
また、「仮想イメージ例外」では、1台の仮想マシンのファイルを元にホワイトリストを作成。他の仮想マシンはそのホワイトリストを参照して、スキャン対象を除外する。
以上とは別に停止状態の仮想マシンのセキュリティ・チェックを行う「オフラインイメージ検索」という機能も追加した。この機能では、停止状態の仮想マシン(VMDKファイル)を、最新定義ファイルでスキャンすることができる。
SEP12は6月下旬発売予定。パブリックベータ版の配布も5月16日より、先着500名を対象に行っている。
