NEWS「ゼロデイ攻撃」防ぐレピュテーション技術、シマンテックが他社との違いを解説

エンドポイントセキュリティ製品の新版に搭載するマルウェア検知技術「Insight」についてシマンテック担当者が解説した。

[TechTargetジャパン]

　シマンテックは3月23日、2011年夏以降にリリース予定の企業向けエンドポイントセキュリティ製品「Symantec Endpoint Protection 12」（SEP 12）に関する技術説明会を開催した。SEP 12自体のリリースは2月18日に発表済みで、今回の会見ではバージョン12でSEPに初搭載されたレピュテーション技術「Insight」に関する説明が行われた。

　Symantec Endpoint Protectionは、PCなどのエンドポイント向けにウイルス／スパイウェア対策、クライアントファイアウォールなどのセキュリティ機能を提供する統合型セキュリティ製品。脆弱性を狙うマルウェアを検知・防止する機能として、振る舞い検知や侵入防御（IPS）などの技術を標準搭載している。Insightの搭載で、新種のマルウェアへの対応を強化した。

　Insightを使うことで、ユーザーはインターネットからダウンロードしたファイルの安全性を自身で判断できるようになる。具体的には、エンドポイントに何らかのファイルをダウンロードすると、そのファイルが世の中に配布されてからの期間や利用者数、デジタル署名の有無などの情報がクライアントPCにポップアップ表示される。Insightでは、エンドポイントでファイルがダウンロードされると、ファイルの「ハッシュ」「ソース」「署名者」「名称（ファイル名）」「パス」情報を取得、同社のサーバに集約する。その情報を基にファイルの信頼性を分析し、結果をポップアップ表示している。ポップアップの判断基準は企業のセキュリティポリシーに応じて変更できるため、「そもそもポップアップでユーザーに判断させずに、ある規定以上の危険が判断されたファイルはシャットダウンする」という運用もできる。

Insightで未知の脅威に対応

　リージョナルプロダクトマーケティングマネージャーの広瀬努氏はSEP 12の特徴の1つがInsightの搭載と説明。その上で、近年各セキュリティベンダーが提唱する「クラウドベースのセキュリティ」「レピュテーションベースのセキュリティ」と、Insightの違いとして「インターネット経由の情報分析（評判：レピュテーション）で未知の脅威を安全にあぶり出すことでエンドポイントを保護する」ことを挙げた。また、Insightは「誤検知が少なく、定期スキャンの時間は従来比で大幅に縮小する」と紹介し、インターネット経由で定義ファイルを早期（リアルタイム）に更新可能とする他社製品とはアプローチが異なるとした。

　Insight自体は、同社が4年前から構想を続けてきた技術である。新種のマルウェアを検知・防止可能とする機能として、個人向けウイルス対策製品「ノートン」では2008年に発売されたバージョンからInsightを組み込んでいる。広瀬氏はInsight開発の経緯として、近年、マルウェア数が爆発的に増加し続けていることや、マルウェア作成ツールの普及でオンライン犯罪が組織化・悪質化したことを紹介した。