シマンテック(河村浩明社長)は、今夏発売予定の企業向けエンドポイントセキュリティ製品の新版「Symantec Endpoint Protection(SEP) 12」に新たに搭載するクラウド型の防御技術「Insight」の技術説明会を開催した。

 「Insight」は、個人向けセキュリティ製品「ノートン360」などで採用しているクラウド型のレピュテーション(評価)技術。「SEP 12」に搭載することで、定義ファイルによるパターンマッチングや、疑わしいプログラムの挙動検知技術「SONAR」とともに、多層型の防御を実現。ウイルス作成者をジレンマに陥らせる抑止力を働かせることができるという。

 現在、アンチウイルスソフトで検知できない変異したマルウェアの亜種が現れている。出現してから経過時間が短く、分布が少ないマルウェアほど、従来の定義ファイルによるパターンマッチングでは検出できず、危険度も高い。

 「Insight」は、1億7500万を超えるシマンテック製品ユーザーのコンピュータからファイル情報を収集し、ファイルが出現してからの経過期間や利用ユーザー数、デジタル署名の有無などを蓄積・分析し、評価スコアの基準にしている。分布が少なく、出現からの経過時間が短いマルウェアほど評価が低く、目立ちやすい存在になる。「マルウェアを改造しすぎると、レピュテーションが低いために逆に目立つ。だからといって変異をさせないと、パターンマッチングで検出されてしまうので、ウイルス作成者をジレンマに陥らせることができる」(プロダクトマーケティング部の広瀬努リージョナルプロダクトマーケティングマネージャ)というわけだ。

プロダクトマーケティング部の広瀬努リージョナルプロダクトマーケティングマネージャ

 「SEP 12」では、「Insight」を活用して三つの機能を提供する。新機能として、ダウンロードしたファイルの実行前に危険度を診断する「ダウンロードアドバイザー(仮称)」や、正常なファイルを誤って不正なプログラムと判断する誤検知率を低減。さらに、明らかに安全なファイルや、検索済みファイルをスキャン対象から除外する「クラウドスキャン/スキャンレス」を提供する。

 ダウンロードアドバイザーでは、従来の定義ファイルによるパターンマッチングと「Insight」技術からの情報に基づいて、未知、既知のマルウェアを検知する。クライアント側のデータベースで確認が取れない場合は、クラウドにあるシマンテックのサーバーを参照。ファイルのステータスをクライアントに返信して、アプリケーションを実行するか否かをユーザーに判断させる。

 また、ユーザーのコンピュータからのフィードバック情報を収集することで、「クラウドスキャン」や「SONAR」の精度を向上させ、誤検知率を低減する。さらに「クラウドスキャン/スキャンレス」機能で、明らかに安全なファイルをホワイトリストとして除外し、一度スキャンしたファイルについても、更新が加えられない限りスキャン対象から除き、検索時間を短縮する。

 検索済みファイルは「スキャンレス」でキャッシュとして保持。定義ファイルがアップデートされた後に、キャッシュはクリアされる。だが、クラウド側でもキャッシュを4時間保持するので、定義ファイル更新した後も、検索時間の短縮効果は持続する。

 「クラウドスキャン/スキャンレス」は、仮想環境下で大きなメリットを発揮する。「Shared Insight Cache(SIC)サーバー」を社内に設置することで、キャッシュを共有できるようになる。システムエンジニアリング本部の藤田平氏は、「『SIC』サーバーのキャッシュを参照することで、仮想環境上に構築した同じ構成のバーチャルマシンのスキャンをスキップし、負荷を削減する」とメリットを語った。(鍋島蓉子)