ここが違う、2010年版セキュリティソフト[カスペルスキー編]

仮想化技術を応用した保護機能を新搭載

 「Kaspersky」は、動作の軽さやマルウェアの検出能力の高さで、特に技術指向が強いユーザーから高い支持を得ているセキュリティソフトだ。ここでは、最新バージョンである「Kaspersky Internet Security 2010」の特徴について、カスペルスキーラブスジャパン代表取締役社長の川合林太郎氏に聞いた。

仮想化機能を標準搭載

カスペルスキーラブスジャパン代表取締役社長の川合林太郎氏

 Kaspersky Internet Security 2010の目玉的な新機能となるのが、業界初とうたわれる「仮想実行スペース」だ。これは、仮想化技術を応用して、隔離され、すべての挙動が監視される独立した区画(=サンドボックス:Sandbox)をPC上に作り出し、その中でアプリケーションを実行するものだ。

 PCの仮想化技術には、PCハードウェアをソフトウェアでエミュレーションし、その上でOSを稼働させる“バーチャルPC”といった技術もあるが、ここで採用されている仮想化技術は全く別のOSイメージを稼働させるものではなく、一般に「コンテナ化」などと呼ばれる種類の技術となる。

 コンテナ化では、当然ながらOSのライセンスが別途必要なく、従来使用していたOS環境と基本的に同一の環境でアプリケーションを実行できる。サンドボックス内で実行されているアプリケーションの動作はすべて監視されているため、こっそり重要なファイルを読み出したり、HDDに書き込みを加えるといった動作をすべて捕捉し、禁止することが可能だ。

 そのため、従来のウイルス定義ファイルなどで検出できなかったような悪意あるコードを実行してしまったとしても、仮想環境の内部であれば被害を食い止められる。考え方としては、アプリケーションの挙動を監視して怪しい動作を捕捉する「ヒューリスティック」とよく似ているが、システム側のリソースの保護がより手厚くなっており、「チェック漏れで被害を受けてしまうリスクが極めて低い」安全性の高さがメリットとなる。

 標準では、まずWebブラウザーを仮想実行スペースで起動できるようにセットアップされる。同社はこの仕組みを“セーフ・ブラウジング(Safe Browsing)”と呼んでいる。現在では、マルウェアの多くがWeb経由で配信されており、Webブラウザーがマルウェアをダウンロードする感染事例が非常に多い。仮想環境内でWebブラウザーを実行することで、こうした感染被害を仮想環境内に限定でき、さらにWebブラウザーを終了してしまえば仮想環境内部をマルウェアを含めて完全に消去できるので、PCの安全性は飛躍的に高まる。

 さらに、Webブラウザーに限らず、任意のアプリケーションを仮想実行スペースで実行することも可能だ。オンラインソフトをダウンロードして試用する場合なども、システムへの改変を阻止し、無用なリスクを避けるために大いに役立つと言えるだろう。

 なお、仮想実行スペースの機能自体は標準でインストールされているが、仮想実行スペースでソフトウェアを実行するには相応のマシンパワーが必要になるため、利用するかどうかはユーザーの意志に任されている。「ユーザーが仮想実行スペースの存在を認知しており、状況に応じて自発的に利用する必要がある」という点では、一種のオプション機能的な扱いと言えるが、川合氏は「インターネットにアクセスする際には常にセーフ・ブラウジングの利用を推奨したい」としている。

 仮想実行スペースの提供の背景には、OSやWebブラウザーといった基本的なソフトウェアのセキュリティアップデートを実行しないユーザーが相当数存在するという事実があるという。もちろん、単に危機意識が低かったり、面倒だという理由で対応しないユーザーもいないわけではないが、分かっていてもやらないユーザーも存在するのだと川合氏は語る。

 「既存のソフトウェアが動作しなくなるなど、セキュリティアップデートを実行すること自体をリスクだと考えて躊躇するユーザーもいるので、こうしたユーザーに対しては、仮想実行スペースの意義を理解して活用してもらえると考えている。」

仮想実行スペースの利用イメージ

仮想実行スペースは、Kaspersky Internet Security 2010のインターフェイス画面の「アプリケーションコントロール」タブからアクセスする
仮想実行スペース内で実行されているアプリケーションは、ウィンドウ枠の外側にグリーンの縁取りが施され、視覚的にも一目で判別できるようになっている

 仮想実行スペースはごく簡単な操作で実行できるようになっている。唯一残念なのはマニュアルにあまり詳細な説明がなく、この機能の存在や使い方に気付いていないユーザーがいるのではないかということだが、使い方自体はシンプルで特に難しいことはない。なお、パッケージの販売元であるジャストシステムのサポートFAQにはその方法が書かれているので、使い方についてぜひ参考としてほしい。

 仮想実行スペースは、Kaspersky Internet Security 2010のインターフェイス画面の「アプリケーションコントロール」タブからアクセスする。インストール直後の状態では、ユーザーが普段利用している“デフォルトのWebブラウザー”がすぐに利用できるようにセットアップされている。

 なお、仮想実行スペースのインターフェイス内にInternet Explorer 8のアイコンが2つ用意されているのは、1つは標準的なセットアップ、もう1つは「終了後に仮想実行環境をクリア」というオプションが指定されているものだ。このオプションはユーザーが任意に変更可能なので、あえて2つ用意する必要はないとも言えるのだが、細かいことを気にしたくないユーザー向けの配慮であろう。この、四角い枠内に置かれたWebブラウザーのアイコンをダブルクリックして起動すると、セーフ・ブラウジングが利用できる。

 仮想実行スペース内で実行されているアプリケーションは、ウィンドウ枠の外側にグリーンの縁取りが施され、視覚的にも一目で判別できる。当然ではあるが、Webブラウザーがポップアップウィンドウやダイアログパネルを表示した場合には、それらのウィンドウもすべてグリーンの縁取りが施される。

 Webブラウザーによって実行されるスクリプトやプラグインなどのプロセスもすべて保護されたサンドボックス内で実行されるため、これらが悪意ある操作を実行しようとしても、サンドボックスの外にあるシステムリソースなどへの操作は阻止できるという仕組みである。

 なお、Webブラウザーに関しては、その保護の重要性を踏まえ、「常に仮想実行」というオプションも用意されている。このオプションを指定すると、例えばデスクトップ上のショートカットアイコンをダブルクリックしてWebブラウザーを起動した場合でも、常にWebブラウザーが仮想実行スペースで実行されるようになる。

 マシンのパフォーマンスなどに不足がなければ、保護の手厚さを考えれば、このオプションを指定しておくことが望ましいだろう。なお、パフォーマンスに関しては、CPUがPentium M 1.20GHz、メモリーが1GBという2~3世代前の古いノートPCで実行してみても特に劣化した印象はなかったことを報告しておきたい。

 マシンの起動後に最初にWebブラウザーを立ち上げる際は、サンドボックスの環境自体のセットアップの必要があるためか、Webブラウザーが立ち上がるまでの時間が少々長くなるのは確かだが、起動してしまえば、その後のWebアクセスや画面のレンダリングといった作業には体感できるような“重さ”はなかった。

 Webブラウザー以外のアプリケーションに関しても、仮想実行スペース内で実行できる。デスクトップ上にショートカットアイコンを作っている場合、Kaspersky Internet Security 2010をインストールすると、右クリックメニューに自動的にメニューアイテムが追加される。

 “スキャン”はファイル単位でのウイルスチェックで、“仮想実行”はそのアプリケーションを仮想実行スペース内で起動する操作となる。一般的なアプリケーションをすべて仮想実行する意味はないと思われるが、インターネットからダウンロードで入手したオンラインソフトなどは、まずは“仮想実行”で様子を見る、という場合には便利だろう。

Webブラウザに関しては、「常に仮想実行」というオプションも用意されているデスクトップ上にショートカット・アイコンを作っている場合、Kaspersky Internet Security 2010をインストールすると、右クリックメニューに自動的にメニューアイテムが追加される

“クラウド”サービスの強化

「KSN(Kaspersky Security Network)」については、任意に設定を変更できる

 Kaspersky Internet Security 2010では、Kaspersky Internet Security 2009の新機能として追加された「KSN(Kaspersky Security Network)」の機能強化も大きなポイントだ。ローカルでのファイルのチェックの際に、ファイルのMD5ハッシュ値を算出し、この情報をインターネットを介してKSNに登録、蓄積していくことで巨大なデータベースが構築されている。

 この結果、ファイルのハッシュ値をまず算出してKSNに照会すれば、それが既知の悪意あるファイル、もしくはホワイトリストに登録されたファイルであればすぐに分かることになる。通常のローカルでのチェックに加えてKSNの情報を参照することで、誤検出率をさらに低下させ、新たに出現した脅威にもいち早く対応できる。KSN自体は、2009リリース時点から運用されている機能だが、2010では、デフォルトの設定でKSNの機能が有効となった点が大きく異なる。

 現在では各社が同様の機能を提供しているが、2009リリースの時点ではKSNは業界初の取り組みであり、前例がなかったのだという。そのため、リリース時点では「国によってはユーザーのPCから勝手に情報を持ち出すということで違法行為と見なされる可能性があるかもしれない」といった懸念もあり、インストール時のデフォルト設定ではKSNに参加しない設定になっていたそうだ。

 しかし、その後各国の法規制を詳細に調査したことや、競合各社が同様の機能を提供開始したことなどを踏まえ、デフォルトで有効にしても問題はないとの判断が固まったそうだ。もちろん、インストール時にユーザーの意向確認が行なわれるし、後からでも任意に設定の変更が可能になっているため、ユーザーが知らない間にKSNに参加させられていた、という形にはならない。

 川合氏によれば、2009でのKSN参加比率は20%程度にとどまっていたそうだが、2010では90%以上のユーザーがKSNに参加していると言い、デフォルトで有効にしておくことの重要性が伺える結果が得られているそうだ。

 なお、KSNには、ファイルのダウンロード元となったサイトのURLをハッシュに含めるようになっているそうで、これによって「悪意あるファイルの配布元として開設された有害サイト」や「マルウェアに感染させられたWebサイト」などを見分けることもできるという。こうした情報に基づいてWebサイトの安全性判断も行なえるなど、横断的な情報活用が実現している。

ライセンス数の倍増

 ソフトウェアの機能ではないが、ユーザーにとって大きなインパクトがあると思われる変更点が、パッケージごとのライセンス本数が倍増した点だ。2009までは1パッケージで1台のPCというライセンスだったが、2010では1パッケージで2台までのPCにインストール可能となった。実質的には半額に値下げされたと見ることも可能であり、ユーザーにとってはうれしい変更だ。

 この点について川合氏は「ソフトウェアベンダーとしては上策とは言えない」という姿勢は変わってはいないとしつつも、市場状況を踏まえて取り組まざるを得ないと判断したという。その背景にあるのは、ネットブックのような「相対的に処理能力が低く安価なPC」の普及だ。

 演算速度が高速とは言えないネットブックでは、セキュリティソフトを実行するとパフォーマンスが目に見えて低下したり、そもそも内蔵ストレージ容量が少ないなどの理由から、セキュリティソフトを使わずに済ませる傾向も見られたという。もちろん、本体価格が低価格であることから、セキュリティソフトを追加購入する負担が相対的に重く感じられるという理由もあるだろう。

 Kaspersky Internet Securityはリソースの少ないサブPCでも問題なく動作するようにチューニングされていることもあって、「セキュリティを維持するために、ぜひサブPCでもお使いいただきたい」という意図でライセンス数を増やすことに踏み切ったという。

仮想環境の有効性

 仮想化技術をセキュリティに応用するというのは、発想としてはごく自然なものだ。かつてIntelがvProを発表した際にも、ハードウェアレベルでの仮想化支援機構を活用し、本来のOSとは独立した形でセキュリティソフトを実行するといった構想を発表しており、考え方としては以前からあるものだ。とはいえ、コンシューマー向けのセキュリティソフトで仮想化技術を本格的に採用するのはKasperskyが初であり、注目に値する取り組みであることは間違いない。

 川合氏は、「ユーザーがセキュリティアップデートを実行してくれない状況では、いわば開けっ放しのドアから次々脅威が襲ってくる状況であり、これをセキュリティソフトが防御し続けるのにも限界があるが、仮想環境であれば、万一マルウェアに感染したとしても本体側には何の被害も及ぼさないように完全に隔離できる」と語っている。

 この点こそが、仮想化を活用することの最大の利点だろう。昨今、国内有名企業が運営するWebサイトでも、通称「Gumblar」の攻撃による大規模感染を引き起こしているというニュースが一般の新聞などでも繰り返し報じられる状況になっている。現在では、Webアクセスがマルウェア被害の入り口として最も警戒すべき部分であることは間違いない。一方でWebブラウザーは巨大化しており、脆弱性を全く含まない堅牢なコードを期待することはできない状況だ。であれば、Webブラウザー自体を仮想環境で実行するという考え方は、セキュリティを確保する上で極めて現実的かつ有効な手段であろう。

 実のところ、デスクトップ上に仮想環境を構築し、その中でWebブラウザーを起動するという手法自体は、その気になればユーザーが個人レベルで無償で実現することも可能だ。デスクトップ向けの仮想化ソフトには無償配布されているものもあるし、OSやWebブラウザーも、LinuxやFirefoxを使えば十分以上の仮想環境を構築できる。

 しかし、自力で仮想環境を構築するには技術的な知識も必要であり、手間も時間もかかるため、誰もができるとは言い難い。Kasperskyの取り組みでは、単にパッケージを購入してインストールするだけで仮想化環境が簡単に構築できるため、誰もが簡単に仮想化のメリットを享受できる。

 また、競合各社は「クラウド」対応をアピールする例が目立つが、Kasperskyは既にその先を行っている点が、技術力で高く評価されている同社らしい。クラウド対応という点では、同社では既に1年前からKSNという形で実現しているわけだが、同社はあまり積極的に「クラウド」というメッセージは発信していない。

 これに関して川合氏は、「自動車では、シートベルトが採用され、エアバッグが採用され、ABSが採用され、という形で安全性が向上してきたが、ABSが実現したからといってシートベルトが不要になったりはしていない。同様に、クラウドが使われるようになったからといって従来の技術がいらなくなるわけではなく、あくまでも特性に応じて併用されるべきものだ」という。

 川合氏は「将来は完全にクラウドに移行する」という発想をきっぱりと否定し、それでは逆にセキュリティレベルが低下することになりかねないという。さまざまな技術を組み合わせて最高レベルの保護を実現していくという発想が、技術志向の同社の特徴を反映しているといえるだろう。


関連情報

(渡邉 利和)

2010/2/26 06:00