Special
» 2018年07月25日 10時00分 公開

マルウェアを「検知」せず、「アプリの不正動作をブロックする」という新発想:米国防機関を18年間以上守り続けている「AppGuard」の仕組みとは?

サイバー攻撃が年々巧妙化し、被害を受ける企業も相次いでいる近年、多くの企業がセキュリティ対策の在り方をあらためて見直している。これを受けて、さまざまなセキュリティ対策製品が登場している中で、「米国政府機関で採用され18年間破られたことがない」「外部からのマルウェアなどの脅威から完璧に守る」といったキャッチコピーとともに、社会一般の注目を集めているのがエンドポイントセキュリティ製品、「AppGuard」だ。では具体的に、どのような仕組みを持ち、どのようなメリットを企業に提供してくれるのだろうか? 注目される理由を探った。

[PR/@IT]
PR

話題の「AppGuard」は何が“すごい”のか?

 ANAホールディングス、第一生命、損保ジャパン、電通、PCIホールディングスなど、8社から55億円の資金を集めた国内のセキュリティベンチャーが2017年4月、一般紙はじめ多数のメディアで取り上げられて話題になったことはご存じだろうか。そのセキュリティベンチャーとは、渋谷に本拠を置くBlue Planet-works。「これまでにない新概念のセキュリティ技術」「米国政府機関で採用され18年間破られたことがない」「外部からのマルウェア脅威から完璧に守る」といったキャッチコピーとともに発表された同社のエンドポイントセキュリティ製品、「AppGuard」が社会一般の注目を集めた。その後、合計110億円の資金調達を完了し、2018年6月現在、本格的な製品展開に乗り出している。

 一般に、ITエンジニアやセキュリティ担当者は、こうしたある種の"美辞麗句"に接すると、好奇心を抱きつつも「本当か?」と懐疑的になってしまうものではないだろうか。Blue Planet-worksに出資した一社であるPCIホールディングス 代表取締役社長 原口直道氏も、当初、AppGuardの存在を知った際、周囲に話をしたところ、やはり期待と懐疑が入り混じったコメントばかりだったという。

ALT PCIホールディングス 代表取締役社長/Safer Connected World CEO 原口直道氏

 「私自身はエンジニアではありませんが、『軍用技術の民生化』『米政府機関で採用され18年間破られたことがない』と聞いた際、高度な技術に違いないと考えました。軍や政府はサイバー攻撃で最も標的とされやすい存在だからです。ところがセキュリティに詳しい当社のエンジニアに話してみると、『名前すら聞いたことがありません。本当に大丈夫ですか?』と(笑)」

 そこで原口氏は、関連会社のセキュリティエンジニアらとともに検証を実施。AppGuardをインストールしたPCにさまざまなマルウェアやランサムウェアを感染させる検証を行ったが、1カ月の間、1度も被害は確認されなかった。さらに1カ月かけて検証を続けたところ、エンジニアらの顔付きが変わり、最終的には「確かに完璧に防ぐことができました。ユニークなコンセプトと技術を持った製品です」と太鼓判をもらうことができたという。

 銀行出身でM&Aにも深い知見を持つ原口氏は、この技術を日本に取り入れるため、米Blue Ridge Networksが保有していたAppGuardの技術資産/事業を、Blue Planet-worksが買収することを支援。さらにその後、AppGuardを取り扱う専門会社として2018年6月にSafer Connected World(PCIホールディングス連結子会社)をBlue Planet-worksと合弁で設立。マスターディストリビューターとして、AppGuardの国内展開に深く関わることになった。

 「多くの企業が抱えている課題に、“これまでにないアプローチ”で対応できる製品です。日本のサイバーセキュリティ業界の発展に大きく貢献できると確信しています」

 ではAppGuardとは何が新しいのか。また、なぜ日本のサイバーセキュリティに貢献できるのか。原口氏がAppGuardに込める想いと今後の製品展開を聞いた。

簡単に利用でき、運用負荷が少なく、コストパフォーマンスも高い

 原口氏がAppGuardに着目した大きな理由は、企業を取り巻くサイバー攻撃の現状と、セキュリティ対策の実態にある。

 「今どきPCを用いずにビジネスを行っている企業などありません。ITはビジネスインフラとして深く浸透しているのです。従って、企業の経営層もITシステムを守ることの重要性は強く認識していますが、他のIT施策への投資予算に比べると、セキュリティ投資の優先順位は低いことが一般的です」

 その背景として、「セキュリティ脅威が高度化、複雑化し、守るべきポイントが増えていることが挙げられるのではないか」と原口氏は述べる。「多層防御」という言葉が示すように、かつてのようにポイントとなる1箇所を守れば済むような時代ではなくなっている。入口、出口、内部に関して、さまざまな対策を組み合わせて実施していく必要がある。

 「しかし企業の"穴"のうち、どこをどう守っていくかを判断するのは容易なことではありません。製品も多数存在し、自社の場合、何を選択してどう組み合わせればよいのか、判断することが難しい状況にあります。一方で、営利企業である以上、コストパフォーマンスが常に求められますから、収益に直接つながらない守りの施策より、コストメリットの高い攻めの施策を優先しがちな傾向があります」

 このため、セキュリティ対策については「とりあえずやっている、という状態に陥りやすい」というわけだ。こうした状態で脅威を防ぐことができればいいが、実際はそうではない。事実、対策に多大なコストをかけている大規模企業でも、脅威の侵入を許し、外部への情報漏えいなどを起こしていることは周知の通りだ。

 「重大インシデントの発生源のほとんどはPCなどのエンドポイントです。ビジネスに欠かせず、誰もが利用するPCの安全をまず担保する必要があります。昨今のサイバー攻撃は社員を教育して防げるようなものではありません。誰でも簡単に利用でき、運用の負荷が少なく、コストパフォーマンスが高いエンドポイント製品はないか。そんな中で出会ったのがAppGuardだったのです」

「検知」せず「アプリの不正な動きをブロックする」という新発想

 AppGuardが他のエンドポイントセキュリティ製品と大きく異なるのは、「マルウェアを検知する」のではなく、「アプリケーションの不正な動きをブロックする」という新しいアプローチを採用している点だ。

 従来の検知型製品では、脆弱性を悪用して巧みに侵入してくる未知の標的型サイバー攻撃などを完全に防止することはできなかった。そのため最近では、AIを使って検知率を向上させるアプローチや、検知をすり抜けた脅威をエンドポイント内で対処するEDR(Endpoint Detection and Response)のような仕組みが登場している。

 ただ、これらの対策も「マルウェアを検知する」という点では同じであり、「全ての攻撃を防ぐには限界があるのではないか」と原口氏は指摘する。例えばマルウェアの検知率が99.9%であれば、単純計算でも1日に1000件の攻撃を受けると1件は検知をすり抜けてしまうことになる。サイバー攻撃の規模が膨大になるほど、検知率を100%に近づけたところで、必ず何件かの侵入は許してしまうというわけだ。

 また、検知型は過去の脅威情報を基に判断する点で、未知や新種の攻撃から完全に守ることは難しい。加えて、検知するためにはデータベースの頻繁な更新や、AIエンジンのアップデートによる負荷がかかり、運用負担が高まることも多い。ウイルススキャンでPCが重くなるなど、ユーザーの業務を妨げることもある。

 これに対し、AppGuardはマルウェアの検知や駆除を一切行わない。AppGuardが行うのは、「エンドポイント内でアプリケーションが不正な動きをしたときにそれをブロックする」ことだけだ。具体的には、次の2つの特許技術でマルウェアをブロックする。

・アプリケーションをコンテナ化し、不正な処理をさせない「Isolation技術」

・プロセスの因果関係を基に、ポリシーを自動継承して保護する「Inheritance技術」

 「これにより、未知や既知に関わらずシステムに害を与える処理を未然に処理して、システムの信頼性を維持します。ポイントは、アップデートが不要なため運用管理を簡略化できることと、セキュリティエンジンの容量が1MB以下と軽量・軽快に動作するため 、ユーザーの業務を妨げないことにあります。そして何よりマルウェアの脅威を完璧にブロックできることです」

プロセスを隔離・監視し、適正な動作のみを許す

 では、より具体的にはどのような仕組みなのだろうか? まず、マルウェアの脅威を防ぐ上では、「アプリケーションが正しく動く範囲」をホワイトリストとして定義することで、マルウェアの不正動作を防ぐ「アプリケーション要塞化」という手法がある。だがこの手法の場合、アプリケーション1つ1つにホワイトリストを定義しなければならず、「運用負担が大きい」とされてきた。

 一方、AppGuardは、「信頼できるアプリケーション」であっても「マルウェアに利用されやすいハイリスクアプリケーション」は“感染している可能性がある”という前提に立ち、「Isolation技術」によってアプリケーション起動時にコンテナ化してプロセスを隔離、プロセスレベルで監視する。隔離されたプロセスの動作範囲を限定し、「適正な動作」のみを実行可能とすることで、不正な動作を完全に遮断・阻止する仕組みだ。

ALT 図1  「Isolation技術」によってアプリケーション起動時にコンテナ化してプロセスを隔離、プロセスレベルで監視する。これにより、「適正な動作」のみを実行可能とすることで、不正な動作を完全に遮断・阻止する《クリックで拡大》

 もっとも、これでも回避される場合がある。例えば「ブラウザのプラグインの脆弱性を悪用して、コマンドラインからスクリプトを実行する」といった具合に、正常なアプリケーションから別アプリケーションを立ち上げて不正を行うようなケースだ。これを防ぐのが、アプリケーションに設定された制限が、そのアプリケーションを親として起動する子プロセスにも自動継承される「Inheritance技術」だ。これにより、プロセスから派生する子プロセスも「適正な動作」のみを実行可能とする。

ALT 図2 「Inheritance技術」により、アプリケーションに設定された制限は、そのアプリケーションを親として起動する子プロセスにも自動継承される《クリックで拡大》

 「プロセスを隔離し、“プロセスに対してホワイトリストを定義している”ことと、そのポリシーを自動継承することが、従来のホワイトリスト型セキュリティ製品との大きな違いです。導入時の設定が容易なのはもちろん、導入後も製品を意識する必要がないほど運用が楽になります。つまりビジネス部門もIT部門も、“より本来的な業務”に集中しやすくなるのです。このような優位性は、医薬品のカプセル剤に似ていると考えています。簡単に摂取でき、必要なタイミングでカプセルが溶けて、薬が効果を発揮する――もちろん感染を防ぐ上では予防が大切ですし、感染拡大を防ぐCSIRTのような仕組みも不可欠です。しかし問題を根本的に治療するためには、取り扱いが簡単で高い効果が期待できるカプセル剤のようなセキュリティ製品が必要だと考えます。それがAppGuardなのです」

全てがつながる社会の安心・安全を目指して“セキュリティのカプセル薬”を多くの企業に

 現在、大規模企業向けの「AppGuard Enterprise」と、中小企業向けの「AppGuard Solo」を展開。前者はWindows XP SP3以降、後者はWindows7以降の全バージョンと互換性があり、多くの企業にとって導入しやすいことはもちろん、AppGuardの仕組み上、アップデート作業なども不要なため、導入後の運用負荷が高まることもない。今後はサーバ向け製品として、Windows Serverに対応した「ServerGuard for Windows」と、Linuxサーバに対応した「ServerGuard for Linux」も提供予定としている。現在、全国から問い合わせが相次いでおり、今後は都市圏の企業だけではなく、リセラーを通じて提供地域を迅速に拡大していく構えだという。

 また前述のように、AppGuardのセキュリティエンジンは容量1MBにも満たない軽量・軽快な動作が1つの特長だ。その特長を生かして、スマートフォン版やIoTデバイス版の開発も計画中だ。原口氏は次のようにまとめる。

 「AppGuardのマスターディストリビューターであるSafer Connected Worldが掲げている理念は、『すべてがつながる社会、その「安心・安全」の実現を目指して』です。スマートフォンやIoTで全てがつながったとき、現状のセキュリティ対策だけでは脅威も拡大しやすくなってしまいます。そうした中でも、安全につながった社会を100%守っていきたい、全ての人が安心して日常の暮らしや仕事に取り組める安全な社会にしたい――私たちはAppGuardを通じて、社会の安全・安心のために、できる限りの努力をしていきたいと考えています」

Copyright © ITmedia, Inc. All Rights Reserved.


提供:Safer Connected World株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年8月24日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。