今さらながら、Mac OS に標準で実装されている BootCamp と 仮想マシン環境 Parallels は、なにがどうちがうのかを、端的に、「6歳の子にもわかるように」記述しておきます。
コンピュータの仕組みを見てみると、
ざっくりと
アプリケーション類
OS
ハードウェア(CPU, RAM, Storage, Network など)
つまり、
ハードウェアの上にまず OS(Operation System = 基礎ソフト)が載り、その上でアプリケーションと呼ばれる様々な用途をこなすソフトウェアが載って動いています。
BootCamp はまさにこのパターンで、Mac のハードウェアの上に直接 Windows OS を載せてしまうことができます。これは CPU が PC も Mac も今日では同じ Intel 系の CPU だから可能になったとも言えます。
ともあれ。
これはもう、外観は Mac でも中身はコテコテの PC(Windows マシン)です。
実際、私の友人知人の何人かは、この使い方をしています。
理由は、Windows が使えればそれでいい。でも、マシンの外観やスクリーンの美しさでは Mac にかなう PC は無い。コスパの面からも Mac は昔のように高価ではない。と考える人々です。
これはこれで、正論だと思います。
一方、仮想マシンというものは、上述の話とは「全く」別の話です。
Mac に限ったことではありません。Windows にも仮想マシンの考え方はあります。
それは、
構成として
アプリケーション類
OS/OS/OS...
仮想マシン環境(これもひとつのアプリケーション)
OS
ハードウェア(CPU, RAM, Storage, Network など)
また、VMware では
アプリケーション類
OS/OS/OS...
仮想マシン環境
ハードウェア(CPU, RAM, Storage, Network など)
というさらに進んだ環境があります。
つまり、
仮想環境の上に、(ストレージ容量が許す限りいくつでも)異なった OS をインストールして(それが仮想マシンと呼ばれるものです)使う方法です。
で、
Parallels はその仮想環境を提供するソフトウェアであり、それ自身がひとつのアプリケーションです。
要約しますと、
BootCamp = コテコテの PC
Parallels = あくまでも Mac OS + その上に他の OS を実行
本来、比較すべき問題ではないのですが、
あえて違いを言うならば、
BootCamp で Windows を起動した際に、Mac に戻すには、マシンの再起動が必要だということです。
仮想マシンは仮想マシン環境の上で動いていますので、Mac の場合、Mac として使いながら、他の OS を同時に使うことができます。
最近の Parallels は、Mac と Windows の境い目を実に巧妙に連携させ、もやは Windows を起動していることを意識しないほどに進化しています。(毎度の言葉ですが、宣伝のつもりで書いているのではありません)
例えば、Windows の「弥生会計」のアイコンが Mac のタスクバーに入ってしまいますし、それをクリックすれば、そこだけが Windows で実行されている「弥生会計」が使えるのです。
とりあえず、こんな感じで把握しておいていただければ良いのではないかと思います。
2020
- k
* 各製品名はそれぞれが帰属する会社の商標または登録商標です。
2020年2月13日木曜日
2020年2月11日火曜日
ホワイトリストのハードル
前回、「ホワイトリストは育てていくもの」と題して、ハミングヘッズ社のホワイトリスト型セキュリティソフト Defense Platform (DeP) について述べましたが、その最後の部分で述べた「API ホワイトリスト方式のとてつもないハードル」について、書きたいと思います。
ホワイトリストにもレベルがあり、DeP は上層のアプリケーションレベルだけでなく、 API レベルでのホワイトリストが可能である、と示しました。この方法こそが、巧妙なマルウェアをも本当に阻止できる、おそらく今日では唯一の方法だろうと考えます。
7年ほど前。ハミングヘッズ社と同時期に、同じ方式にチャレンジした米国の会社がありました。しかし、そのプロジェクトは途中で打ち切りになりました。気が遠くなるようなハードルがあったからです。しかも、2つも。
1つは、API レベルで監視することの開発量の膨大さです。アプリケーションレベルでのホワイトリスト化はさほど難しいものではありません。しかし API レベルでホワイトリストを作成するとなると、いったいどれだけの監視ルーチンを組み込む必要が生じるか。なおかつ、それらを組み合わせてジャッジできるアルゴリズムも必要になります。これは、比較的短期に結論を求められる米国の会社においては「理論上は理想的と言えても、現実的ではない」と判断されたのだと思います。
さらに、決定的に、この方法が困難な点は... 仮に製品化に成功したとしても、その後のメンテナンスのヘビーさです。なぜならば、API の仕様は OS なら OS の、メジャーなアプリならそのアプリのバージョンアップなどにおいて、修正、進化していきます。API ホワイトリストの場合、その変化に追随していかなければなりません。この作業をこなしていくにはいったい何人のエンジニアを投入する必要があるのか?これは決定的なネガティブ要素でした。
ところが、ハミングヘッズ社は、20年前から電力会社向けに「情報漏洩対策ソフト」を開発提供しており、その当時から、機能テストを自動化する仕組みを試みていました。そのノウハウを使い、API ホワイトリスト製品においても、API との整合性を常に自動評価するシステムを構築したのです。今日では計5,000台のマシン(仮想マシン含む)をグリッド構成し、1日に90万項目もの整合性評価テストを自動で行っているのです。
例えば Windows OS のマイナーアップデート、Google アプリのアップデートなど、何が起きても即座に自動評価し、必要に応じて Defense Platform もアップデートされます。そしてそれはリアルタイムにユーザ側にインストールされている実行モジュールに反映され、ゆえに、まったくつけ入るスキの無い体制を実現しています。
これが、「唯一無二の存在である理由」です。
旧来の「ウイルス定義型方式」から脱却して、時代に即した「ホワイトリスト方式」を広めるべく、無償版が配布されています。(無償版の制約は登録できるホワイトリスト項目が 1,000個までに限定されているだけで、あとはフル機能を使えます)
無償版は下記からダウンロードできます:
https://www.act2.com/dep
インストールして使い始めると、最初のころは、動きを止めるアラートが頻繁に出てきます。しかしいったんホワイトリストに登録してしまえば、次からは止めようとしません。ですから、しばらくの間は根気よく「ホワイトリストを、あなた仕様に、育てる、鍛える」ことです。使えば使うほど、精度の高いホワイトリストが出来上がっていきます。
最初は少しとまどうかもしれませんが、よく考えてみれば、これが正しいことがよくわかります。「実行しても良い行為だけを許可し、それ以外は実行させない」ゼロデイアタックを確実に止めるにはおそらくこれしかないでしょう。
さて、話はすこしそれますが、当然、仮想マシンでも使うことができます。
Mac で Windows を使っているユーザさんには特におすすめです。
「ホワイトリストに登録されている動作しか許可しない」
Windows を使う目的がはっきりしている場合には特に安心です。
OS のアップデートをするのが遅くなってもウイルスやサイバー攻撃の被害に会うことはありません。
現実の世の中も、実はホワイトリスト型で動いています。
ブラックリストと照らし合わせて来客を招き入れる会社などありませんよね。
エアラインのレセプションカウンタもブラックリストと照らし合わせて搭乗券を発行しませんよね。
すべて、「OKが出ているかどうか」で判断されています。
PCもまたそうあるべきでしょう。
コンピュータウイルスが初めて登場したころは「ブラックリスト方式」で良かったのです。しかし状況は変わっていきます。今は「ブラックリスト方式」では被害を止められない時代に、我々はいるのです。
20200211
- k
2020年2月9日日曜日
ホワイトリストは育てていくもの
ウイルス定義型のアンチウイルスソフトには、たぶん、もう未来はないだろう...
なにしろ、マイクロソフト社が「ウイルス駆除は Windows OS に搭載されている Windows Defender で十分。サードパーティ製のアンチウイルスは入れないでほしい」とまで公言してしまったのだから。
ただ、問題は残る。
Windows Defender もまた「ウイルス定義型のアンチウイルスソフト」であり、したがって、"ゼロデイアタック" には効力が無い。
コンピュータウイルスというものが登場した昔は、その方法でよかった。
しかし、毎日毎日、35万個の新しいコンピュータウイルスが誕生している今日、それらを解析し、ウイルス定義ファイルに追加し、配布し...
この方法では追いつけるわけがない。
日々新しいウイルス、攻撃が発生する中で、コンピュータを守るには、逆の発想、つまり「ホワイトリスト型」しか手がないと思われる。
ホワイトリスト型とは、「悪いものを見つけて止める」のではなく「正しいと定義されているもの以外はすべて止める」という方法だ。
これが基本的なエッセンスなのだが、問題もある。それは「ホワイトリストの精度」である。
我々がこれを発表した 2014 年当時は、「ホワイトリスト」という言葉さえまだ耳慣れないものだった。
しかし、昨今では、我々だけでなく、他社もこぞって「ホワイトリスト型」を唱い出した。
やっと... 「ホワイトリストとは何か」という啓蒙活動をしなくてもよいところへ近づいてきた。
やっと... 本来の性能の勝負を主張すべき時が来た。
一口に「ホワイトリスト」と言っても、各社、千差万別である。
が、ほとんどは、アプリケーションレベルでのホワイトリストでしかない。
単純な例を挙げれば、Outlook, Word, Excel, Chrome browser... というように、アプリケーションのホワイトリストを作成するタイプが多い。
しかし、昨今のマルウェア(ウイルス等)は巧妙だ。
それらのアプリケーションに "寄生して" 悪さをするマルウェアで溢れている。
アプリケーション層だけでのホワイトリストは彼らにとってはなんの驚異でもない。
我々が提供しているハミングヘッズ社のホワイトリスト製品(ディフェンスプラットフォーム)は、アプリケーション層だけでなく、さらに深いところ(API (Application Programming Interface)) にまで掘り下げてホワイトリスト化を実現している。
また、H4E と名付けらた機能が "コマンドレベルでの動作" を監視している。
時々、「それはふるまい検知ではないのか」と尋ねられることがあるが、H4E はふるまい検知ではない。そもそも、ふるまい検知自体がパターンマッチングではないか。
H4E は一種の AI と呼んだほうが正しい。とても特殊なアルゴリズムだ。
いずれにしても、
ひとつ、大切なことがある。それは、
「ホワイトリストは育てていくもの」「鍛えていくもの」ということである。
スタート時点で、完璧なホワイトリストを作成することは容易ではない。
ディフェンスプラットフォームの場合、検知モードというモードがあり、一定期間(例えば1週間とか2週間とか)履歴取得だけの活動をする。
その履歴からまずベースとなるホワイトリストを作成する。
そして、本稼働に入る。検知モードの期間内に実行されなかった正しいプロセスもアラートの対象になる。そうした場合、それをホワイトリストに追加してやる。
マルウェアなどは完全にアラート対象になる。今、この瞬間に発生して解析されていない段階であっても。なぜならそれはホワイトリストには登録されていないのだから。
いかにも怪しい動きはブラックリストに入れて永遠に葬ればいい。
マルウェア状況は日々刻々と変わっていく。
だから、終わりのない戦いなのかもしれない。
こうして、「ホワイトリストを育てる、鍛える」という考え方が必要だ。
もちろん、サーバのように、実行されるプロセスが確定していてそれ以外はあり得ないような場合は、ホワイトリストの完成もすばやい。
そう。サーバーにこそ、ホワイトリストを入れるべきだろう。
ディフェンスプラットフォームのビジネスエディションが最近よく売れるのは、こうした認識が徐々に広まりつつある証だと思う。
ところで、
この方法には1つ、とてつもなく大きなハードルがある。だから、競合製品が出てこない。
それについては、次回、記載したいと思います。
2020/02/09
- k
(EOF)
なにしろ、マイクロソフト社が「ウイルス駆除は Windows OS に搭載されている Windows Defender で十分。サードパーティ製のアンチウイルスは入れないでほしい」とまで公言してしまったのだから。
ただ、問題は残る。
Windows Defender もまた「ウイルス定義型のアンチウイルスソフト」であり、したがって、"ゼロデイアタック" には効力が無い。
コンピュータウイルスというものが登場した昔は、その方法でよかった。
しかし、毎日毎日、35万個の新しいコンピュータウイルスが誕生している今日、それらを解析し、ウイルス定義ファイルに追加し、配布し...
この方法では追いつけるわけがない。
日々新しいウイルス、攻撃が発生する中で、コンピュータを守るには、逆の発想、つまり「ホワイトリスト型」しか手がないと思われる。
ホワイトリスト型とは、「悪いものを見つけて止める」のではなく「正しいと定義されているもの以外はすべて止める」という方法だ。
これが基本的なエッセンスなのだが、問題もある。それは「ホワイトリストの精度」である。
我々がこれを発表した 2014 年当時は、「ホワイトリスト」という言葉さえまだ耳慣れないものだった。
しかし、昨今では、我々だけでなく、他社もこぞって「ホワイトリスト型」を唱い出した。
やっと... 「ホワイトリストとは何か」という啓蒙活動をしなくてもよいところへ近づいてきた。
やっと... 本来の性能の勝負を主張すべき時が来た。
一口に「ホワイトリスト」と言っても、各社、千差万別である。
が、ほとんどは、アプリケーションレベルでのホワイトリストでしかない。
単純な例を挙げれば、Outlook, Word, Excel, Chrome browser... というように、アプリケーションのホワイトリストを作成するタイプが多い。
しかし、昨今のマルウェア(ウイルス等)は巧妙だ。
それらのアプリケーションに "寄生して" 悪さをするマルウェアで溢れている。
アプリケーション層だけでのホワイトリストは彼らにとってはなんの驚異でもない。
我々が提供しているハミングヘッズ社のホワイトリスト製品(ディフェンスプラットフォーム)は、アプリケーション層だけでなく、さらに深いところ(API (Application Programming Interface)) にまで掘り下げてホワイトリスト化を実現している。
また、H4E と名付けらた機能が "コマンドレベルでの動作" を監視している。
時々、「それはふるまい検知ではないのか」と尋ねられることがあるが、H4E はふるまい検知ではない。そもそも、ふるまい検知自体がパターンマッチングではないか。
H4E は一種の AI と呼んだほうが正しい。とても特殊なアルゴリズムだ。
いずれにしても、
ひとつ、大切なことがある。それは、
「ホワイトリストは育てていくもの」「鍛えていくもの」ということである。
スタート時点で、完璧なホワイトリストを作成することは容易ではない。
ディフェンスプラットフォームの場合、検知モードというモードがあり、一定期間(例えば1週間とか2週間とか)履歴取得だけの活動をする。
その履歴からまずベースとなるホワイトリストを作成する。
そして、本稼働に入る。検知モードの期間内に実行されなかった正しいプロセスもアラートの対象になる。そうした場合、それをホワイトリストに追加してやる。
マルウェアなどは完全にアラート対象になる。今、この瞬間に発生して解析されていない段階であっても。なぜならそれはホワイトリストには登録されていないのだから。
いかにも怪しい動きはブラックリストに入れて永遠に葬ればいい。
マルウェア状況は日々刻々と変わっていく。
だから、終わりのない戦いなのかもしれない。
こうして、「ホワイトリストを育てる、鍛える」という考え方が必要だ。
もちろん、サーバのように、実行されるプロセスが確定していてそれ以外はあり得ないような場合は、ホワイトリストの完成もすばやい。
そう。サーバーにこそ、ホワイトリストを入れるべきだろう。
ディフェンスプラットフォームのビジネスエディションが最近よく売れるのは、こうした認識が徐々に広まりつつある証だと思う。
ところで、
この方法には1つ、とてつもなく大きなハードルがある。だから、競合製品が出てこない。
それについては、次回、記載したいと思います。
2020/02/09
- k
(EOF)
登録:
投稿 (Atom)