「クラウドセキュリティの真意を見極めるべき」Symantec副社長


米Symantecコンシューマ製品部門シニアバイスプレジデントを務めるローワン・トロロープ氏

 シマンテックのセキュリティソフト新製品「ノートン2010」では、レピュテーション(評価)技術を活用したセキュリティモデル「Quorum」(コードネーム)を導入し、新種の脅威への検出能力を高めたことが最大のセールスポイントだ。米Symantecコンシューマ製品部門シニアバイスプレジデントを務めるローワン・トロロープ氏に、「ノートン2010」の特徴を聞いた。

 Quorumは、シマンテックが3年以上かけて開発したというセキュリティモデルだ。ユーザーのPCに存在するファイルの作成日時やダウンロード元、デジタル署名、普及度など数十項目の属性情報を集計。これらの情報を独自のアルゴリズムで分析した上で、ファイルの評価を決定する仕組みだ。評価が「悪い」とされたファイルは検出し、どちらとも判断できない場合は、ファイルを実行すべきかどうかを判断するためのデータをユーザーに提示する。

 ファイルの実行に当たっての判断材料として提示するデータとしては、当該ファイルを所有するノートンユーザーの人数、ノートンユーザーが最初に当該ファイルを発見した日時――などの情報。あまり出回っていないファイルについては、「あなたはこのファイルをダウンロードした最初のNortonユーザーの1人です」といった警告画面を表示し、ユーザーに判断を委ねる。

 ファイルのレピュテーションに当たっては、PC内のファイル情報を匿名で送信することに同意した約3500万人のユーザー(日本は600万人弱)で構成される「ノートンコミュニティウォッチ」の情報を活用。具体的には、そのファイルがインストールされているPCの台数や、最初にファイルが登場した時期などの情報を収集・分析し、ファイルの評価を自動的に計算する。

 収集した情報はシマンテックのサーバー上に保存し、ユーザーがファイルをダウンロードするごとに、そのファイルの安全性を確認できる。いわば、クラウドを利用したセキュリティサービスだが、トロロープ氏は「他社のクラウドセキュリティとは一線を画している」と自信を見せる。

 「競合他社もクラウド上にシグニチャ(ウイルス定義ファイル)やビヘイビア(振る舞い)検知を展開しています。しかし、シグニチャで新種の脅威に対抗しきれないことは明らかです。また、ビヘイビアについても、マルウェアが悪意のある行動を見せなければ検知できません。つまり、これらをクラウドに上げただけでは、最新の脅威に対しては何の解決にもならないと考えています。」

重要なのはクラウドをいかに活用するか

 これに対してQuorumは、統計学をベースにした検出方法を採用しているという。ノートンコミュニティウォッチでは3年前から、全世界3500万台のPCにインストールされているファイル約5億件を収集し、「インターネット上に出回るありとあらゆるファイルをリスト化した」。その上で、同社のホワイトリストやブラックリストに登録された情報と照らし合わせて、ファイルの安全性を評価している。

 「評価方法の一例としては、普及度の低いプログラムを『悪い』と判定することで、新種の脅威を検知することが可能です。ただし、これらのプログラムでも、ホワイトリストに登録されているマイクロソフトやアドビシステムズなどの署名があるものなどは『良い』と判定します。逆にブラックリストに登録されている出所のファイルは『悪い』としています。詳細な評価基準はお伝えできませんが、複数の評価方法を用いて評価の完成度を高めているのです。」

 とはいえ、Quorumは万能ではないとトロロープ氏は語る。「どんなセキュリティにも『完ぺき』がありえないように、Quorumも同じです。今日のQuorumは主に、インターネットからダウンロードするファイルを評価対象としています。最近ではUSBメモリ経由でウイルス感染するケースが増えていますが、それはQuorum以外のセキュリティ機能で対応しています。将来的には、USB経由でアクセスするファイルの情報についてもQuorumで吸い上げる仕組みを考えています。」

 すでに開発に着手している「ノートン2011」製品では、Quorumをさらに進化させるというトロロープ氏。複数のセキュリティ企業が掲げる「クラウドセキュリティ」というキーワードについては「バズワードに過ぎない」と述べ、重要なのはどのようにクラウドを活用するかだと強調する。「1台のPCを狙うようなマルウェアは、クラウド上にシグニチャがあっても検知はできない。業界には誇張表現があるようだが、現実を見極めることが必要です」。


関連情報

(増田 覚)

2009/9/28 15:22