ホワイトリストは育てていくもの

ウイルス定義型のアンチウイルスソフトには、たぶん、もう未来はないだろう...

なにしろ、マイクロソフト社が「ウイルス駆除は Windows OS に搭載されている Windows Defender で十分。サードパーティ製のアンチウイルスは入れないでほしい」とまで公言してしまったのだから。

ただ、問題は残る。

Windows Defender もまた「ウイルス定義型のアンチウイルスソフト」であり、したがって、"ゼロデイアタック" には効力が無い。

コンピュータウイルスというものが登場した昔は、その方法でよかった。

しかし、毎日毎日、35万個の新しいコンピュータウイルスが誕生している今日、それらを解析し、ウイルス定義ファイルに追加し、配布し...

この方法では追いつけるわけがない。

日々新しいウイルス、攻撃が発生する中で、コンピュータを守るには、逆の発想、つまり「ホワイトリスト型」しか手がないと思われる。

ホワイトリスト型とは、「悪いものを見つけて止める」のではなく「正しいと定義されているもの以外はすべて止める」という方法だ。

これが基本的なエッセンスなのだが、問題もある。それは「ホワイトリストの精度」である。

我々がこれを発表した 2014 年当時は、「ホワイトリスト」という言葉さえまだ耳慣れないものだった。

しかし、昨今では、我々だけでなく、他社もこぞって「ホワイトリスト型」を唱い出した。

やっと... 「ホワイトリストとは何か」という啓蒙活動をしなくてもよいところへ近づいてきた。

やっと... 本来の性能の勝負を主張すべき時が来た。

一口に「ホワイトリスト」と言っても、各社、千差万別である。

が、ほとんどは、アプリケーションレベルでのホワイトリストでしかない。

単純な例を挙げれば、Outlook, Word, Excel, Chrome browser... というように、アプリケーションのホワイトリストを作成するタイプが多い。

しかし、昨今のマルウェア（ウイルス等）は巧妙だ。

それらのアプリケーションに "寄生して" 悪さをするマルウェアで溢れている。
アプリケーション層だけでのホワイトリストは彼らにとってはなんの驚異でもない。

我々が提供しているハミングヘッズ社のホワイトリスト製品（ディフェンスプラットフォーム）は、アプリケーション層だけでなく、さらに深いところ（API (Application Programming Interface)) にまで掘り下げてホワイトリスト化を実現している。

また、H4E と名付けらた機能が "コマンドレベルでの動作" を監視している。
時々、「それはふるまい検知ではないのか」と尋ねられることがあるが、H4E はふるまい検知ではない。そもそも、ふるまい検知自体がパターンマッチングではないか。

H4E は一種の AI と呼んだほうが正しい。とても特殊なアルゴリズムだ。

いずれにしても、

ひとつ、大切なことがある。それは、

「ホワイトリストは育てていくもの」「鍛えていくもの」ということである。

スタート時点で、完璧なホワイトリストを作成することは容易ではない。

ディフェンスプラットフォームの場合、検知モードというモードがあり、一定期間（例えば１週間とか２週間とか）履歴取得だけの活動をする。
その履歴からまずベースとなるホワイトリストを作成する。

そして、本稼働に入る。検知モードの期間内に実行されなかった正しいプロセスもアラートの対象になる。そうした場合、それをホワイトリストに追加してやる。

マルウェアなどは完全にアラート対象になる。今、この瞬間に発生して解析されていない段階であっても。なぜならそれはホワイトリストには登録されていないのだから。

いかにも怪しい動きはブラックリストに入れて永遠に葬ればいい。

マルウェア状況は日々刻々と変わっていく。
だから、終わりのない戦いなのかもしれない。

こうして、「ホワイトリストを育てる、鍛える」という考え方が必要だ。

もちろん、サーバのように、実行されるプロセスが確定していてそれ以外はあり得ないような場合は、ホワイトリストの完成もすばやい。

そう。サーバーにこそ、ホワイトリストを入れるべきだろう。

ディフェンスプラットフォームのビジネスエディションが最近よく売れるのは、こうした認識が徐々に広まりつつある証だと思う。

ところで、

この方法には１つ、とてつもなく大きなハードルがある。だから、競合製品が出てこない。

それについては、次回、記載したいと思います。

2020/02/09
- k
(EOF)