Tweet

評価データベースの連携で迅速な検出も

マルウェア検査をクラウド上で、トレンドマイクロ

2008/11/12

　トレンドマイクロは11月12日、新しいセキュリティ技術基盤「Trend Micro Smart Protection Network」を発表した。従来はローカルPC側で行っていたウイルスのパターンマッチング作業の多くを、トレンドマイクロが提供するクラウドサービスと軽量クライアントを組み合わせて実施することで、検出の精度向上と処理負荷の軽減を狙う。2009年以降リリース予定の企業向け／個人向け製品の両方に順次適用される計画だ。

トレンドマイクロ 代表取締役社長兼CEO エバ・チェン氏

　従来のウイルス検出では、パターンファイルをすべてクライアントPCに取り込んでからマッチングを行っていた。これに対しTrend Micro Smart Protection Networkでは、Webサイトからダウンロードしたり、メールに添付されてきたファイルのハッシュ値を取得して、インターネットを介してトレンドマイクロのクラウドサービス上に送り、そこで不正プログラムかどうかの検査を実施する。ヒューリスティック型など一部のものは引き続きクライアント側で検索を行うが、Trend Micro Smart Protection Networkでは、全体の約75％がクラウド上で実施される見込みという。この結果、これまでと比べてクライアントに掛かる負荷が少なくてすむようになる。

　また、セキュリティ対策の基本である「パターンファイルのアップデート」に注意を払わなくとも、クラウド側で常に最新のパターンファイルに基づいて検査を実施できる。これにより、運用管理の負担も軽減されるという。

　クラウドを活用するアーキテクチャからは、別のメリットも生まれる。多くのユーザーから寄せられた情報を集約し、新たな脅威に迅速に対応できることだ。トレンドマイクロでは、ユーザーから寄せられたハッシュ値の情報をデータベース化し、「ファイルレピュテーション」として活用することにより、当該ファイルがマルウェアか否かを正確に把握できるようにしていく。

　同社はこれまで、複数の観点からWebサイトの安全性を評価する「Webレピュテーション」、電子メールの送信元IPアドレスを評価付けする「E-mailレピュテーション」を提供してきた。Trend Micro Smart Protection Networkでは、これらにファイルレピュテーションを組み合わせ、3つのデータベースに格納された情報を関連付けながら分析することで、増加している「Webからの脅威」に対処するという。

　Webからの脅威は、まずユーザーに大量にスパムメールが送り付けられることから始まる。スパムメールにはURLが記されており、このリンクをクリックすると悪意あるWebサイトに誘導され、不正プログラムがダウンロードされる。そして1つの不正プログラムがさらに別の不正プログラムを次々にダウンロードしていく。

　これに対しTrend Micro Smart Protection Networkでは、3つのデータベースに情報を格納し、付き合わせながら対応する。あるマルウェアを検出したら、それが配布されたWebサイトや情報送信先となるWebサイトへのアクセスをブロックするなどして、予防的な防御を可能にするという。

　「従来のコンテンツセキュリティは、脅威が検出されてからパターンファイルが有効になるまでに非常に長い時間が掛かっていた。これに対しクラウド-クライアントアーキテクチャでは、バックエンドで行う相関分析によってゼロデイ、あるいはゼロ秒の脅威にも対処できる」（トレンドマイクロの代表取締役社長兼CEO、エバ・チェン氏）。インターネットを介してベンダ側のデータベースにアクセスし、迅速な検出を可能にするテクノロジは他社も提供しているが、複数のレピュテーション情報を相関付けて分析するのは同社のユニークな技術だという。

　トレンドマイクロではファイルレピュテーションサービスを2009年3月より本格運用する計画だ。また2009年以降リリースされる製品には、Trend Micro Smart Protection Networkが順次適用されるという。具体的には、法人向けのゲートウェイセキュリティ製品「InterScan」シリーズや情報漏洩対策アプライアンス「LeakProof」、検疫システムの「Network VirusWall Enforcer」がロードマップに載っているほか、個人向けウイルス対策製品「ウイルスバスター」でも対応する予定。