Defense Platform
ディフェンス プラットフォーム
DeP
米国商務省セキュリティ新基準に唯一準拠するホワイトリスト
ウイルス定義型セキュリティは過去の話
いよいよホワイトリスト型セキュリティの時代です
1
ウイルス定義型の限界。
一日に発生するマルウェアの数は 35万個と言われています。(ドイツ AV-TEST 社レポート)
これらを補足し、解析し、対策プログラムを開発し、ウイルス定義ファイルに追加し、配布し... この作業にいったいどれだけの作業が必要でしょうか?
リアルタイムに追随することは不可能であり、"ゼロデイ・アタック"(生まれたばかりでまだウイルス定義ファイルに反映されていないマルウェアによる攻撃)の被害率は高まる一方です。近年のランサムウェアの膨大な肥大がその勢いと旧コンセプト(ウイルス定義型)ではもはや完全に対応不可能であることを示しています。
2
進む。ホワイトリストへの移行。
これを拒む1つのアイデアとして、ウイルスを定義するのではなく、逆に、実行しても良いものを定義する「ホワイトリスト」型の概念は実はかなり以前から存在しました。しかし、その実現性は困難と言われ、今日に至っていますが、それをやってのけたのが日本の会社「ハミングヘッズ社」です。
最大手 OS メーカも「ホワイトリストを持っている」と公表されています。しかし...
3
そのホワイトリストの精度は?
一口に「ホワイトリスト」と言っても、どのようなレベルでそれが実装されているのかによって効果は大きく違ってきます。
今日「ホワイトリスト型」をうたう多くの製品はほとんどアプリケーションプログラム単位でのホワイトリストです。例えば、Excel や Word、Outlook、Chrome ブラウザ というレベルでのホワイトリストです。
この場合、それらに "寄生する" プログラムを Inject(注入)されても、それらは完全に見過ごされてしまいます。
同様に、人為的なコマンド操作を防ぐことはできません。
こうした単純なホワイトリスト方式では完全な防御は不可能です。
一方、ハミングヘッズ社の "Defense Platform" はコマンドレベルでのホワイトリスト化が可能であり、そのレベルでのホワイトリスト化を強化していけば圧倒的に強力なマルウェア対策が可能になります。
数々のゼロデイ・アタックも確実に退けてきた実績がそれを物語っています。
API レベルでのホワイトリスト化への道のり
どのようなマルウェアも結局は
どのようなマルウェアも結局は OS (Windows の場合は Windows OS)の API を使っていると考えて良いでしょう。さらに下層のマシン語レベルではマルウェア開発自体が膨大な作業になって全く現実的ではないからです。
そこで、DeP(デップ、Defense Platform)では API のレベルでのホワイトリスト化に着目し、それを可能にしました。
しかし、これは容易なことではありません。
Windows OS の持つ全ての API を理解し監視しなければならないのです。その作業量は膨大で、欧米からこの方式を採用した会社が登場しないのは、おそらく開発プロジェクトがあまりにも膨大になり、プロジェクトとして成立しなかったのでしょう。
ハミングヘッズ社は DeP の前に SeP という「情報漏洩対策ソフト」を開発しており、その素地がすでに出来上がっていたために、この "API レベルホワイトリスト" ソフトウェアを実現できたのです。
変遷していく API にどう対応するのか?
ここに1つの大きな問題があります。OS やホワイトリストに登録してあるアプリケーションやプログラムプロセスが更新された場合、そこで使用されている API 自体に変更が加えられていることは十分に考えられます。すると、なにかバージョンアップがあるたびに、DeP もその変化に追従しなければなりません。この困難さも API レベルでのホワイトリスト型ソフトウェアが他に存在しない理由の1つでしょう。
ハミングヘッズ社は合計 5千台におよぶテストマシンによって、1日に 900万項目という膨大な数の品質管理テストを自動で実行しています。
このシステムがあるからこそ、DeP はリアルタイムに最新の OS、アプリケーション、コマンド処理に対応し続けていけるのです。
つまり、DeP の製品価値は、DeP そのものと同時にこの自動品質管理システムにあるのです。
無償版ダウンロード
使いやすい UI
2つのモード
DeP には基本的に 2つのモードがあります。
1)検知モード:
インストール後 1 〜 2 週間はこのモードで実行します。その間に、DeP はそのマシン上で起きた全ての活動を記録します。
2)ディフェンスモード:
ここからが防御モードです。検知モードの間に検出された項目をチェックしてホワイトリストを作成し、これ以降は、そのホワイトリストに登録されているアプリケーション、プロセス、人為的コマンドパターン以外は決して実行を許可されません。ですから、今日発生したばかりのマルウェアや新種の攻撃を受けても、それらが実行されることはありません。
ホワイトリストを最適化していく
検知モードの際に登録されなかったプロセスや判断できないものはアラートが出ます。これを見て、実行許可をするものはホワイトリストへ、許可しないものはブラックリストへ、と、こうして、どんどんホワイトリスト自体を最適化していくことができます。
無償版ダウンロード
履歴からリストへ登録する
DeP はコンピュータの全ての動作履歴を詳細に取得しています。
この画面はその履歴画面です。
ここで、必要に応じて、項目を選択して右クリックすることにより、アプリケーションや動作を、ホワイトリストまたはブラックリストに登録することができます。
エディションの説明
DeP HOME エディション
DeP には基本的に 2つのモードがあります。
1)検知モード:
インストール後 1 〜 2 週間はこのモードで実行します。その間に、DeP はそのマシン上で起きた全ての活動を記録します。
2)ディフェンスモード:
ここからが防御モードです。検知モードの間に検出された項目をチェックしてホワイトリストを作成し、これ以降は、そのホワイトリストに登録されているアプリケーション、プロセス、人為的コマンドパターン以外は決して実行を許可されません。ですから、今日発生したばかりのマルウェアや新種の攻撃を受けても、それらが実行されることはありません。
DeP ビジネスエディション
法人のユーザ様でクライアントが 5ライセンスを超える場合は、このビジネスエディションを選択してください。全クライアントを一括管理、共通ホワイトリスト化が簡単に行えます。
また、
サーバにこそホワイトリストを。
サーバは役目が決まっていますから、ホワイトリストで守る方法は最適です。
これがあれば、OS 自体のアップデートが遅れても何の心配もいりません。
お問合せは act2 ヘルプデスクへ:

https://support.act2.com/hc/ja/requests/new

https://support.act2.com

※ 商品名・および社名は各社の商標または、登録商標です。
※ 製品の仕様および価格・名称は予告なく変更されることがあります。


Copyright © 2020 ACT2.COM & hummingHeads, Inc All rights reserved.