ここが違う、2010年版セキュリティソフト[トレンドマイクロ編]

　トレンドマイクロの「ウイルスバスター」は、メーカー製のPCにも広くプリインストールされている定番的なソフトである。最新版である「ウイルスバスター2010」の最大の特徴は、個別機能が段階的に提供されてきていた"スマートプロテクションネットワーク"が遂にひと通りの機能を完成させ、包括的な機能として本格提供されたことだ。

　ウイルスバスター2010の特徴について、トレンドマイクロの長島理恵氏（マーケティング本部コンシューママーケティンググループプロダクトマネジメント課プロダクトマネージャー）に聞いた。

●スマートプロテクションネットワーク

トレンドマイクロの長島理恵氏（マーケティング本部コンシューママーケティンググループプロダクトマネジメント課プロダクトマネージャー）

スマートプロテクションネットワークの概要

　スマートプロテクションネットワークは単一の機能というよりも、3つの主要機能の組み合わせで構成される「クラウド・クライアント型の次世代セキュリティ基盤」だという。その詳細に踏み込む前に、まずは背景となる脅威の現状を見ておこう。

　セキュリティソフトが対象とする"脅威"は、技術の進歩やインターネットの普及に歩調を合わせるように変遷を繰り返してきている。初期には愉快犯的なワームやウイルス、スパムメールといったものが中心だったが、その後スパイウェアやボットネットを経て、現在では「Webからの脅威」と呼ばれる、Webサイトからダウンロードした不正プログラムによる被害が中心となっている。

　それと同時に、新種のマルウェアの発生頻度も急速に高まっており、トレンドマイクロの調査では、検出された不正ファイルの数が、2009年には2.5秒に1回になったという。現在ではさらに短くなっているであろうことは容易に想像できる。しかも、その多くは経済的利益を狙ったものであり、昔のような技術力誇示などを狙った「ジョークプログラム」の類は少なくなってきている。つまり、実行してしまった場合には、金銭被害を被るリスクが高いのである。

　従来のパターンファイルに基づくマルウェア検出は、既知のマルウェアを確実に捕捉するための技術として発展してきたが、新種の発生頻度にパターンファイルの作成が追いつかなくなりつつあり、パターンファイルに依存した保護では十分とは言えなくなってきている。

　トレンドマイクロでは、ウイルスバスター2008から「不正変更の監視」（いわゆるヒューリスティック解析）や「Webレピュテーション技術」を導入し、パターンファイルのみに依存しない保護を段階的に導入してきた。このアプローチをさらに推し進め、機能的にひとまず完成された状態でウイルスバスター2010で新たに提供されるようになったのが「スマートプロテクションネットワーク」である。

　スマートプロテクションネットワークは、機能的には3つの要素から構成されている。「レピュテーション」「スマートフィードバック」「相関分析」の3つだ。では、この3つの要素についてそれぞれ見ていこう。

●レピュテーション技術の概要

レピュテーション技術の概要

　レピュテーションという用語に関しては、現時点では各社が各様の定義で使用している状況であり、どのような技術を指しているかがまちまちだ。トレンドマイクロでは同社のレピュテーション技術について「評価／スコアリング」の技術だとしている。

　トレンドマイクロのレピュテーション技術は「Webレピュテーション」「Emailレピュテーション」「ファイルレピュテーション」の3種類にさらに細分化される。

　Webレピュテーションは、ウイルスバスターに最初に搭載したレピュテーション技術であり、ウイルスバスター2008から搭載されている。目的は、「さまざまな角度から"このWebサイトは危険なのかそうでないのか"を判断する」（長島氏）ことにある。

　古い手法では、あるサイトの安全性を判断する際、主としてそのWebサイトで公開されているコンテンツの内容を軸に判断していた。例えば、「ポルノなどのアダルトコンテンツがある」「ギャンブル関連のコンテンツがある」といったことから機械的に危険なWebサイトと判断していたのである。

　しかし、現在ではより高度に洗練された判断を行なっているという。「国ごとの法制度にもよるが、ギャンブル関連のコンテンツがあるから即危険とは判断できない。ギャンブルは、青少年にとっては好ましくないコンテンツかもしれないが、成人が自己責任でアクセスすること自体には問題はないとも言える。その全てを危険なサイトとしてブロックするのが適切な対応とは言えないだろう」と長島氏は言う。

　トレンドマイクロが考える"危険なWebサイト"とは、そのサイトを訪問することでマルウェアをダウンロードさせられてしまったり、個人情報を盗み出されてしまったりするサイトであり、単に青少年向けではない内容を扱うコンテンツがあるだけでは危険とまでは言えないという立場だ。

　そこで、現在のWebレピュテーションでは、Webサイトをさまざまな尺度で点数化し、点数が閾値を超えたら危険と判断する、という手法をとっている。例えば、「Webサイトの安定性」や「そのWebサイトが使っているIPアドレス」などを見る。

　突然出現して、短期間で消えてしまうようなWebサイトは、長期にわたって継続的に運営されているWebサイトに比べると怪しさの度合いが大きいといったことや、スパムメールの発信元サーバーが使用しているIPアドレスと同じIPアドレスを使っているWebサイトは怪しいといった評価を積み上げ、総合的に判断するという手法だ。こうした判断の結果はWebレピュテーションデータベースに登録され、随時参照される。

　Emailレピュテーションも同様に、さまざまな尺度に基づく評価を行なう。主としてトレンドマイクロが提供する企業向けゲートウェイ製品などで分析した判断結果が情報源となっており、発信元メールサーバーの評価に基づいてメールの評価を行なっている。

　最後に、ファイルレピュテーションでは、ヒューリスティック解析などの手法から収集したマルウェアの疑いのある実行ファイルを分析し、評価を蓄積する。

　ファイルレピュテーションが存在することで一見分かりにくくなっているが、同社のレピュテーションの基本的な考え方は、「マルウェアや脅威の出所を抑える」というものだ。極端な例え方をすれば、サイバー犯罪者の側に注目し、その活動拠点となるWebサイトやメールサーバーを確実に識別していく、というアプローチだといってよいかもしれない。

　新種が次々と発生するマルウェアをファイルレベルで評価していくのは簡単な作業ではなく、曖昧さや誤判定も不可避的に発生するが、サイバー犯罪の舞台となっているWebサイトなどを見分けることができれば、そこで配布される個々のファイルに対して識別作業を行なう必要はなく、一括してブロックしても問題にはならないだろう。こうした「大元を断つ」という発想が伺える点が、同社のレピュテーション技術の最大の特徴であろう。

　競合他社と同様、どのような情報を手がかりにどうやって判断を下しているのか、その詳細は明かされてはいないのだが、Webサイトの安定性や、他の危険なサーバーとのIPアドレスの共用など、サイバー犯罪者がとりそうな行動を見分けるための手がかりを評価ポイントに加えていることから、詳細は分からないまでも相応の信頼を置ける技術であろうと判断できるわけだ。

●相関分析

相関分析のイメージ

　レピュテーションで実装されたWeb／Email／ファイルの個々の機能も有用だが、トレンドマイクロがスマートプロテクションネットワークについて、「Webからの脅威からユーザーを守る"クラウド・クライアント型次世代セキュリティ基盤"であり、トレンドマイクロのエンタープライズ製品とコンシューマー製品のどちらも対象に、全社的な取り組みとして、こうしたインフラを使ってセキュリティ対策を行なうのが現状ベストな手法だと判断している」（長島氏）とまで言う背後には、これらの3種のレピュテーションの結果を統合する「相関分析」の部分に強みがあるからだ。

　相関分析では、3種のレピュテーション技術などから得られた情報をさらに統合し、より高度な判断を下す作業である。「あるメールサーバーからスパムメールが届いたから、このメールサーバーから発信されるメールは怪しいと疑ってかかるべき」というのは単純な1対1の対応でしかない。いわば個別のデータに過ぎない。

　しかし、「そのスパムメールの中に記載されたURLで指定されたWebサイトは危険なWebサイトであると疑われる」というところまで発展させると、これはデータとデータの相関からより高度な知識を引き出す作業となる。相関分析では、こうした作業をWeb／Email／ファイルの各レピュテーションデータベースを対象に実行する。

●スマートフィードバック

スマートフィードバックの概要

　最後になったが、スマートフィードバックは、ユーザーからの情報提供に基づいて迅速にマルウェアの発見に繋げるための仕組みである。

　パターンファイルを作成するためには、マルウェアの検体を入手する必要がある。このための手法として従来は「クローラを使う」「ハニーポットを用意する」などの手法が用いられてきたが、現在のマルウェアの進化速度は速いため、検体をリアルタイムに採取しきれないのだという。この問題に対する対策として用意されたのがスマートフィードバックである。

　ユーザーがインストールしたウイルスバスター2010が「何かをブロックした」という情報、「未確定ではあるが危険だと判断した」という情報をクラウド側に送り、クラウド側でこれらの情報を整理してデータベース化していく。当然ながら、ユーザーが増えれば増えるほど大量の情報が集まるので、検体の収集に要する時間の短縮も期待できるというわけだ。

　ここでも、相関分析と同様の各機能間の連携が実現しており、スマートフィードバックに寄せられた情報によって、それまでは「グレー」としか判断できなかったあるファイルが「明らかに危険」と判明したら、その結果はファイルレピュテーションデータベースに登録されたり、パターンファイルを作成するなどのアクションに繋がったりしていく。

　このように、スマートプロテクションネットワークでは、個々に見ても有用なさまざまな機能が用意されるとともに、それらが有機的に連携し、全体としてより強固な保護体制を確立する点が強みとなっている。

●防御力と検出率の違い

　トレンドマイクロでは、従来型の検出率の向上にとどまらず、総合的な意味での防御力の強化に取り組んでいるという。これは、同社単独の動きではなく、業界の最新トレンドを踏まえたものだ。

　セキュリティベンダーなどが集まり、セキュリティ製品のテスト手法の標準化を目指す団体「AMTSO（Anti-Malware Testing Standards Organization）」が2008年2月に正式に発足したが、AMTSO発足の動機の1つとなったのが、「脅威は年々進化しているのに、セキュリティソフトの評価方法は昔と同じで良いのか？」という問題意識だ。

　従来から行なわれているセキュリティソフトに対する検出率のテストは、隔離された環境に置かれたPCにさまざまな既知のマルウェアのファイルを置き、それをどれだけ検出できるかをテストしている。これで分かるのは、パターンファイル（ウイルス定義ファイル／シグネチャー）がどれだけ網羅的に用意されているか、比較的最近認知されたマルウェアに対応するパターンファイルを迅速に用意できているか、といった性能になる。

　一方、前述の通り最近の脅威はWeb経由のものが主体となっており、しかもマルウェア自体は猛スピードで次々と変種を生み出しているため、現実にユーザーが直面する脅威にはパターンファイルなしで対応せざるを得ない例が増えている。これに対応するために各社ともヒューリスティック分析などの技術を開発してきたが、従来の検出率のテストはこうした新種の脅威に対する防御能力を正しく評価することを主眼としたものにはなっていないのである。

　AMTSOの発足は、この状況を危惧する発想から生まれたとも言える。そして、トレンドマイクロが取り組む防御力の強化は、まさにこの動きと共通する発想だと言える。

　トレンドマイクロでは、Web経由での脅威に対する防御を「侵入レイヤー」と「感染レイヤー」の2層に分けて考えているという。侵入レイヤーでの保護は、「不正プログラムの出所、もしくはネットワークレベルでのアクセスをブロック」することで行なわれ、感染レイヤーでの保護は「標的となるコンピューターへの不正プログラムの転送、実行をブロックする」ことで行なわれる。

　もう少し分かりやすく表現すると、侵入レイヤーでの保護は、マルウェアの配布を行なうような危険なWebサイトにはそもそもアクセスさせないように防御することだ。一方、新たに出現したマルウェア配布サイトなど、防御が間に合わずにマルウェアがPCに送られてきてしまった場合、従来型のPC上での防御策としてヒューリスティックなどの手法を駆使して実際の被害発生を防ぐのが感染レイヤーでの保護ということになる。

　つまり、従来のセキュリティソフトは、基本的に感染レイヤーでの保護対策を実装してきたわけで、検出率のテストも感染レイヤーでの保護能力を調べていたのだと言える。

　もちろん、感染レイヤーでの保護能力が低くてよいということにはならないし、検出率の高さも重要な要素であることは間違いない。しかし、そもそも侵入レイヤーでの保護が万全であれば、マルウェアは感染レイヤーまで到達することすらなくなるわけで、感染レイヤーでの性能だけを見るのではセキュリティソフトの防御力を総合的に評価することはできないのも明らかだろう。

　実は、2009年にAMTSOの参加企業の1社であるNSS Labsという米国の独立系テスト機関が単独で、新しい発想に基づくセキュリティソフトの比較テストを実施し、その結果を公表している。テストは、2009年7月から～8月まで、隔離された試験環境ではなく現実のインターネットに接続し、テスト期間中に随時登場する最新の「危険なWebサイト」を収集してアクセスしてみるなど、現実のユーザーの行動を想定した形で実施されたものだ。

　テストされたのは、グローバル市場において主要なコンシューマー向けセキュリティソフト9製品だが、トレンドマイクロのウイルスバスター2009はテスト結果をもとに算出されたさまざまな評価軸すべてにおいて優秀な成績と評価され、総合成績でも最優秀と評価されている。

　このテストは、生のインターネット環境での現実の脅威を使って行なわれているため、リアルな結果が得られている一方で、結果の再現性は保証されないという側面もある。最初に行われた取り組みとして評価できるものの、できれば継続的に同様のテストを実施し、結果を公表してもらわないと、1回のテストだけで優劣を断定することは難しいだろう。

　とはいえ、ウイルスバスターがリアルな環境での高い防御力を認められたという結果は事実であり、これは同社の「侵入レイヤーでの保護性能に力を入れる」という取り組みの有効性を証明したと見てよいだろう。

●セキュリティソフトの新トレンド

　現在でも、USBメモリー経由でのウイルス感染が問題になるなど、感染レイヤーでの保護が必要な場面は少なからずある。その部分での性能向上をおろそかにするわけにはいかないのはもちろんだが、脅威の大半はWeb経由であることもまた事実であり、Web経由での脅威に効果的に対応するための新しい対策が求められていることは言うまでもない。

　ウイルスバスター2010で提供するスマートプロテクションネットワークは、侵入レイヤーでの保護対策として実装された機能だと考えれば、その意味が明確になるだろう。同社は、「レピュテーション技術などに業界でもいち早く取り組んだことから、怪しいWebサイトなどを見分けるためのノウハウの蓄積ができており、さらにより正確な判断を下すための相関分析の手法も洗練されてきている。この部分は一朝一夕に追いつかれるとは思えず、競合優位だと考えている」としている。

　製品機能とは離れるが、トレンドマイクロは「販売方法も含めて"製品"である」というポリシーの元で、ユーザーにとって買いやすい形での製品提供を心がけている点も評価できる。例えば、ウイルスバスター2010では、実際のユーザーのマシン保有状況を踏まえてWindows版とMac版を同梱し、合計台数がライセンスの範囲内（3台まで）であればWindowsとMacを混在させて使える、という斬新な販売方法を開始したのもユーザーにとってはありがたい点だろう。

　侵入レイヤーでの保護という新しいトレンドをいち早く採り入れ、かつユーザーにとって買いやすい形での販売方法を工夫するなど、このところのトレンドマイクロには、従来のセキュリティソフトの「競争のルールを変えていく」ような積極的な姿勢が感じられるのではないだろうか。