ソリトンシステムズ(鎌田信夫社長)は1月26日、サイバー攻撃対策に有用なエンドポイント機能を搭載した国産の新型EDR(Endpoint Detection and Response)製品「InfoTrace Mark II for Cyber」で採用し、特許を取得していた技術について、日本に続き、米国でも特許権(米国特許番号:US 9,875,353)を取得したと発表した。

 一般にマルウェアの活動は、複数のプロセス(アプリケーション)が関連して動作することにより悪意ある行為を実行している。セキュリティシステムでアラートとして上がってくる事象はその一部に過ぎず、本来の原因、活動状況を分析するには、この「プロセスの関連した動作」を明確にし、その動作中のファイルやレジストリ操作、通信などプロセスの活動状況を的確に把握することが必要となる。しかし従来の手法では、複数のプロセス間の厳密な関連性はログとして記録されることはなく、プロセスの動作特性などから専門家が推察して分析を行うか、ログを記録する仕組みに特化した分析ツールを使う必要があった。

 今回の特許技術によって、一連のマルウェアの活動を動作ログとして明確に記録し、保持することが可能となる。また、単にプロセスの起動終了の関係性だけではなく、実行中プロセスの動作にも関連を示す一意の情報が付与されているため、そのプロセスの活動状況を簡単に抽出することができる。この特許技術は、InfoTrace Mark II for Cyber専用アプライアンス「InfoTrace Mark II Analyzer」のプロセスチェイン分析などに活用されている。