2020年1月8日水曜日

DAY 008 - サーバにこそ、ホワイトリストを

ぼくらがホワイトリスト製品をリリースしたのは、2015年だったと記憶している。 あの頃はまだ、「ホワイトリストとは何か」から話をしなければならず、今にして思えば、世間一般には早過ぎた感がある。(コンピュータセキュリティの専門家の間では概念としては存在していたが) やっと最近はその説明をせずとも、「ホワイトリスト」という言葉が市民権を得てきたように思う。 一言に集約すれば、「実行してもよいパターン」ということです。 僕らが販売しているのは、国産(ハミングヘッズ株式会社製)の DeP (デップ、Defense Platform の略)という製品です。(Windows 用) 初めはクライアント版からスタートしたが、機能が強力過ぎて、慣れるまでにやや時間がかかる。 一方で「これはサーバには使えないのですか?」という問合せが増え始めた。 確かに。なんでこんなことに気づかなかったんだろう。 サーバマシンは役目が決まっているから、ホワイトリスト化もしやすいし、防御という面からは理想的

マイクロソフト社も「ホワイトリストを持っている」と主張していますが、問題は、どの程度の厳しいホワイトリストを作れるか

残念だがマイクロソフト社のホワイトリストは甘い。

一方、DeP のホワイトリストは、アプリ名だけで判断するようなスカスカなものとはわけが違う。API(Windows OS の最下位のコマンドレベルのプログラムインターフェイス)の挙動を完全把握して、「何が、何を、どこへ、どうしようとしているか」という API の連動プロセスレベルでリスト化できる。最初から明確にわかっているものはホワイトリスト(またはブラックリスト)にセットしておけばいいし、登録がない動きについては H4E と呼ぶ AI アルゴリズムが判断をし、アラートを出してくれる。

例えば、「あなた(管理者)が起動したプログラムが、あるファイルのデータをコピーしてどこかに保存する」ということはあり得るが、プログラムが勝手に起動して、または別のプログラムを起動させてファイルをコピーする」というのはあやしい。そうした場合は H4E と呼ぶ独自の AI アルゴリズムが「待った、をかける」あやしいものはいったん止めて、確認する。「職務質問」のようなものだ。

だから、導入時に、ある程度のホワイトリストを作成しておいて、あとはそのアラートをみて判断してやればいい。これが、昨年米国を震撼させた数々のランサムウェアをも止めた DeP のエッセンスだ。

もうすぐ、Windows 7 のサポートが終了する。(あと1週間後)
OS のサポートが終了するということは、わからないことがあった時に助けてもらえない、という程度では済まない。新たなセキュリティホールが見つかっても、もう、それを塞ぐパッチは開発されないのである。当然そこを突いたマルウェアが登場し、そのマシンは簡単に餌食にされる。これはIT管理者ならたいていの人がわかっている周知の事実であり、それが引き金になって、サーバの対策も見直そうという機運が高まっている。

ゼロデイアタック(生まれたばかりでブラックリスト方式では止められない攻撃)から身を守ることができる唯一の方法が「精密なホワイトリスト化」なのである。

NIST という米国の安全確保機構では、すでに数年前から、ホワイトリスト化による防御を勧告し、DeP はその厳しい仕様基準をクリアして認められた。

しかし、この開発の陰には壮絶としか表現できない開発現場の試練と挑戦があった。それがどんなものであったか、それを知れば、なぜ DeP をしのぐ製品が世界を見渡しても存在しないのか、よくわかる。長くなってしまったので、その話はまた機会をあらためたい。

今回は、「役目の決まっているサーバにこそ精密なホワイトリスト化を」というお話でした。

製品の詳細情報はこちらへ

2020/01/08
- k


0 件のコメント:

コメントを投稿