シマンテック、マルウェアの希少性に着目した新技術を紹介
マルウェア作成者にジレンマを感じさせる、シマンテックの試み
シマンテックは3月23日、エンタープライズ向けのセキュリティ製品「Symantec Endpoint Protection 12」の技術説明会を開催した。同製品では、クラウド型やレピュテーション型を絡めて、従来のウィルス対策ソフトとは違った視点でセキュリティ性を高めていると述べている。
同社のリージョナルプロダクトマーケティングマネージャー広瀬 努氏は、マルウェアの数が増大したことも脅威だが、マルウェアそのものの目的が変わってきていることも脅威である」と話した。これまでのマルウェアは、PCを停止する程度だが広く感染をする自己増殖型のマルウェアが多かった。しかし現在では、ターゲットを絞り込んで「金銭」に繋がる情報を盗むトロイの木馬型マルウェアが増えてきているという。
広瀬氏は、「ターゲットを絞り込んでいるため、感染力自体は低い。そして、この感染力の低さは『希少性』を高めることにもつながり、我々セキュリティ・ベンダーも見逃しやすい」とも話した。そして、マルウェア作成ツールキットの存在などにより、機能はそのままにスキャンをくぐり抜けるコードに変えた「亜種」の作成が容易になっていることも発表した。
これに対してシマンテックは、マルウェアの『希少性』に着目。独自技術「Insight」を4年かけて開発した。Insightは、ファイルの世界での分布情報、またファイルが作成されてからの期間の情報を蓄積し可視化することで、「希少性の高いソフトウェア」を抽出しやすくしたと述べている。つまりマルウェア作成者は、ターゲットを絞って亜種を作成するほどユーザーを警戒させてしまい、ジレンマを感じるのである。
このInsightを搭載したSymantec Endpoint Protection 12は、セキュリティはもちろん軽快さや仮想環境など環境に応じた最適な保護を重視しているという。技術説明会では、同製品の目玉となる3つの機能を紹介していた。
1.ダウンロードアドバイザー
ユーザー自らがダウンロードしたファイルに対し、実行される前に危険度の診断を行う。従来の定義ファイルでのパターン・マッチングとレピュテーション・データベースによる信用度の確認、振る舞い検知(SONAR)でトリプルチェックを行い、マルウェアの抽出、ブロックを行う。
2.誤検知率の低減
マルウェアではないソフトウェアの誤検知を防ぐために、全世界のユーザーから利用状況をフィードバックしてもらい情報を蓄積。クラウドスキャンやSONARの精度を高める。また、企業側でセキュリティ・ポリシーの設定もできるため、エンドユーザー側のリテラシーに依存せず企業のセキュリティ・レベルをコントロールできる。
3.スキャンレス
これまでのフルスキャンを見直し、前回のフルスキャン以降に追加されたファイルのみスキャンを実施し、スキャンの時間を大幅に短縮する。また、クラウドスキャンのキャッシュも保持しており、定義ファイルの更新以降もスキャンの時間を従来より短く収めることができる。そのほか仮想化環境下では、スキャンの結果を共有し重複するファイルをスキャン対象から除外する「Shared Insight Cache」機能も搭載している。
同製品は、パブリック・ベータテストを2011年4月から開始。リリースは2011年後半を予定している。
(Computerworld.jp)
