クオリティソフトは、ぜい弱性検出型クライアント管理クラウド「ISM CloudOne」の新機能として「ふるまい検知オプション」を追加する。FFRIとの協業で、同社のもつ未知の脅威に対する検知エンジンを活用、ISM CloudOneの既存のセキュリティ機能と統合して管理できるようにするというものだ。

日本企業を狙った標的型攻撃やランサムウェアの脅威が急増中

 ISM CloudOneは、マルチデバイス・マルチネットワーク対応のセキュリティ管理ツールだ。クラウドベースのため、社内外を問わずに対応。加えて、Windows、Android、iOSのマルチに対応し、PCやスマートフォン、タブレット端末、さらには仮想化環境や海外にある端末、複合機まで管理することが可能だ。豊富な管理機能を備えると同時に、わかりやすいコンソール画面によって、多数かつ多彩な端末を利用する組織でもセキュリティ状態を容易に把握できる。また、定期的な機能強化や新オプションの追加など定期的なアップデートが行われ、次々に台頭してくる新たな脅威に対応し、ユーザーニーズに追随し続けている。導入企業は4万社超と、業界をリードするソリューションだ。

 今回のアップデートで追加されたオプションは、企業にとって大きな脅威となっている標的型攻撃やランサムウェアなどに多い新種のマルウェアを検知・隔離できるようにするもので、各クライアントにインストールして使う。これまでISM CloudOneでは、セキュリティアップデートを徹底させたり、OSやアプリケーションのセキュリティ設定を診断したりと、既知のぜい弱性に対する機能を充実させてきた。しかし、新種のマルウェアはパターンマッチで検知する一般的なアンチウイルスソリューションで検出が困難なため、未知の脅威も検知できる機能が求められていた。

山崎誠司
チーフエバンジェリスト
営業推進部部長
 「とりわけランサムウェアの台頭が、こうした対策の必要性を高めている」と話すのは、同社の山崎誠司・営業推進部部長。「ランサムウェアは標的型攻撃と違ってバラマキ型で、標的型攻撃で狙われてこなかったような小さな企業も被害を受けることがある。とくに今年に入ってから、ランサムウェアの被害が頻繁に聞かれるようになってきた。海外拠点や海外と取引がある会社の総務や経理に“Invoice”と称した添付ファイルつきのメールが届けられたり、購入した商品が不良だったから写真を送ると称してZIPファイルを添付して送りつけ、そこにランサムウェアを潜ませたりといった手口が目立つ」と説明する。

 このような添付ファイルは、つい業務の一環として開いてしまいがちだ。感染してしまうと、PC内のファイルが暗号化されてしまって解除は非常に困難になる。ランサムウェアの本体を解析して暗号キーを割り出して復号する手法も考えられるが、これは高いスキルをもった技術者が長時間かけて行わなければならず、しかも最近では暗号キーをインターネット上からもってくるランサムウェアも登場し、この手法そのものが使えなくなってきた。つまり、一度やられてしまったら暗号を解く手段がないのである。

ふるまい検知オプションの追加で 未知の脅威の検知にも対応

 攻撃者は、こうした標的型攻撃やランサムウェアを利用して、不正に資金を得ることをビジネスとしている。標的型攻撃で得られた機密情報などはネット上の闇マーケットで取引され、ランサムウェアでユーザーのデータを人質に取り「身代金」という形で直接的に金銭を得ている。いわば、ビジネスとしての攻撃が横行しているのだ。

 この「闇ビジネス」は近年、洗練の度合いが高まってきており、オリジナルのマルウェアを手軽に作成できるキットが数多く流通し、作成したマルウェアが既存のアンチウイルスで検知されるかどうかを確認できるサイトも存在している。そのため、常に新種のマルウェアをつくり出しては攻撃を行っているのだ。

 新種のマルウェアに対して、パターンマッチを主体としたアンチウイルス製品では、その検体を入手してからパターンファイルを作成するまで、どうしてもタイムラグが出てしまう。

 このような新種のマルウェアを検知する手法として注目されているのが、「ふるまい検知」技術だ。検査対象のプログラムがどのような挙動をするのかを解析し、その危険性を判定する技術の総称で、近年ではさまざまなセキュリティベンダーが製品に取り入れるようになってきた。


 「ISM CloudOneと連携する前提で対応してくれること、クライアントにツールをインストールしてクラウドで管理する形態に適していること、そして研究開発をバックグラウンドとした企業であること、という技術的な優位性などから、協業相手としてFFRIを選んだ。2016年に入ってから両社の間で調整を開始し、今回のリリースにこぎつけた」と山崎部長は説明する。

 FFRIの技術は、「ZDPエンジン」「Static分析エンジン」「Sandboxエンジン」「HIPSエンジン」「機械学習エンジン」という五つのエンジンを搭載し、多角的なアプローチで対象ソフトウェアを分析するというもの。このうちZDPエンジンを除く四つには、ふるまい分析における各種の手法が実装されている。一方、ZDPエンジンは同社の特許技術で、攻撃者に悪用されやすい「任意コード実行型ぜい弱性」を汎用的に防御するという内容。未知・既知を問わず防御するロジックとなっているため、セキュリティアップデートが適用されない「ゼロデイぜい弱性」も含め、常に保護するよう動作する。最近では、自身が仮想環境で動いていると検知すると動作を停止するアンチVM機能をもつマルウェアもあるが、FFRIの検知エンジンではこうした自動解析を阻害するマルウェアの防御実績も有している。


 なお、ふるまい検知機能を搭載したセキュリティ製品には社内ネットワークを保護するアプライアンス型のネットワークセキュリティもあるが、社外で使われる端末を保護することができない。今回のオプションは、クライアントにインストールしてクラウド側から管理するようにつくられているため、社外で脅威にさらされる場面にも対応できるのが特徴だ。

既存の脅威に対しても備えは必要 さまざまなセキュリティの統合管理を

 ふるまい検知オプションは、ISM CloudOne 5.3以降で利用可能となる。ISM CloudOneでは、他のセキュリティ機能も統合管理でき、それらを網羅したコンソール画面から、セキュリティ状態を一元的に把握できる。

 新種の脅威に備える新たなセキュリティ機能が必要になったからといって、既存のセキュリティ機能が不要になるわけではない。

 山崎部長は、「ランサムウェアの凶悪化が喫緊の課題とはいえ、企業が対策を求められる脅威はほかにもあり、増え続けている。既存の脅威に対しても、しっかり対策できていなければ被害を受ける可能性がある。もちろんセキュリティは、しっかり運用を回してこそ役に立つ。どれほど高いセキュリティ性能を誇るツールがあっても、運用できなければザルのようなものだ。ISM CloudOneのダッシュボードのように、IT部門の負担を軽減するための仕組みが欠かせない。IT部門が本業に専念でき、ユーザーがワークスタイルを拡大していけるよう、当社では今後も新たな機能を積極的に取り入れていく」と強調する。