2014年11月11日火曜日

【解説】ホワイトリスト型 のディフェンスを始めよう



DeP → デップ と読みます。
正式名称は Defense Platform であり、その略称です。




まず、DeP には【ディフェンスモード】と【検知モード】の2つのモードがあることを理解してください。

この違いを端的に表現すると:

【ディフェンスモード】
文字通り、保護モードであり、DeP の働きのかなめです。ホワイトリストにない動きに反応して実行を阻止する働きをします。

【検知モード】
このモードでは保護機能は動作せず、逆に、どんな動作が実行されているかを把握していきます。なぜ、これが必要かというと、インストールしてしばらく(約1〜2週間程度)はこのモードで動作しておくと、デフォルトのホワイトリストに登録されていない動きがリストアップされていき、このモードを終える前に、「これはホワイトリストに登録」「これは除外」という作業をすることによって、より短期間に自分のホワイトリストを効率よく“鍛える”ことができるのです。(任意作業)

初めて起動した時は、デフォルトが【ディフェンスモード】になっているため、そのまま使い出すと Windows の利用状況によっては、アラートがバンバン出てきます。これはデフォルトのホワイトリストにない動きが実行されているためです。特に 仮想マシンではビックリするくらい頻繁に出てきます。
Parallels 関連でストップがかかることが多いですが、Parallels 関連は問題ありませんので実行を許可してください。

なるほど、こうやって使うのか、とわかったところで、一旦、【検知モード】にして、しばらく運営することをおすすめします。理由は先に述べた通りです。

モードの切り替え方法ですが... 最初は私もわかりませんでした (~~j

下の図で示した部分がドロワー(引き出し)タブになっています:


ココをクリックしてください。DeP の操作メニューが現れます:








こうして、モードを切り替えます。ドロワータブを再度クリックするとメニューは収納されます。

メニューの引き出し方さえわかれば簡単ですよね! (^^/

旧来のブラックリスト(ウイルス定義ファイル)を使ってパターンマッチング処理をする負荷とウイルス定義ファイルに登録される前の段階での被害(ゼロデイアタック)を考えると、DeP のホワイトリスト型セキュリティのほうが圧倒的に理にかなっていることがわかります。

来訪者の受付でも、犯罪者リストを持ってそれと照らし合わせながら対応しませんよね。応対してもよい人のリストを持って対応しているはずです。それと同じです。世の中はホワイトリスト型で機能しています。携帯電話の電話帳もその一例です。

PC のウイルス対策も同じです。「許可されている動作以外は実行させない」これが正しいのではないでしょうか。

DeP の開発背景については:
【解説】今までの常識を覆す Windows セキュリティのあり方(DeP 序章)

ホワイトリストの考え方については:
【だれでもわかる】ホワイトリスト方式とは

をご参照ください。

充実した DeP の FAQ もぜひご参照ください。

- MK

余談:
北米市場では Defense Platform ではなく、SHINOBI という名称でリリースされました。「漢字ブーム」にのって、「忍」の文字をアイコンにし、たいへんな人気のようです。


DeP 60日間無償版ダウンロードは こちら
DeP ライセンスキーのご購入は こちら

Mac で Windows を実行する Parallels Desktop については こちら

Parallels Desktop 30日間無償版ダウンロードは こちら
Parallels Desktop ライセンスキーのご購入は こちら

開発元 ハミングヘッズ社のホームページは こちら