2013年11月14日
カスペルスキー インターネット セキュリティ 2014の新機能(その1)
めでたいことに、カスペルスキー インターネット セキュリティの最新バージョンが(ほぼ)全世界で発売となった。
カスペルスキー インターネット セキュリティ 2014(カスペルスキー 2014 マルチプラットフォーム セキュリティのWindows対応プログラム)自体に興味がある方はこちらから新バージョンをダウンロードしてほしい。アップグレードのガイドラインはここから参照できる。
これもある意味、秋の伝統になりつつあるが、私から皆さんに新バージョンの機能についてお話しするときがやってきた。
まずは新機能について – これはたくさんある。とにかく数が多いので、個別の記事で(あるいは多少まとめて)紹介していこうと思う。新機能の秘密をすべて解説するには、1つの短いブログ記事では到底収まらない。一晩かけても読み切れないはず…。
では、まず第1弾:
カスペルスキー インターネット セキュリティ 2014は基本的に、すでに強力だった旧バージョンカスペルスキー インターネット セキュリティ 2013に、さらに強力な機能を盛り込んだ製品だ。新バージョンが提供するプロテクションは、さらに堅牢に、さらに良く、さらに早く、さらに強力になった。インターフェイスは美容整形大手術を経て完全に生まれ変わり、主な動作のロジックも全面改修されている。また、オンライン取引の安全を確実にする新機能(ネット決済保護を強化)や、保護者による管理に追加された新機能、悪質なスクリーンロッカーに対する総合的プロテクションが導入されたほか、パフォーマンスの向上や最適化を図る各種新機能によって、以前よりもさらに、意識せずに使える製品に仕上がった。
しかし、このバージョンの中で最高の機能は、私たちが最も力を注いだ機能だ。未来の脅威から守る機能。卑劣なサイバー犯罪者にとっては大変残念なことだろうが、専門的で斬新な機能をいくつか製品に盛り込んだのだ(どれも他社の製品にはない機能であるはず)。タイムマシンを使ったわけではない。サイバー犯罪者の後をつけて、ジャック・バウアーのような尋問を行い、計画している犯罪を白状させたわけでもない。私たちは「儀式」を行って未来を覗き、サイバー世界の悪意ある開発ロジックを大まかに予測し、そのロジックを予防的プロテクションの新技術に取り入れたのだ。
未来の脅威に対する予防的な対策のなかでも特に強調したいのが、パワーアップしたぜい弱性攻撃ブロック、法人向けソリューションの特殊技術を個人向け製品に応用したZETA シールドと実行アプリケーションの制限、そして不正にスクリーンをブロックするソフトウェアに対抗するビルトインの機能だ。
さて、この夢のように素晴らしくきこえる機能の数々が、実際に日々のコンピューターウイルス対策にどう役立つのだろうか?まずは実行アプリケーションの制限から説明していこう。このような技術が個人向け製品に採用され、複合的なセキュリティを実現するのは世界初のことだ。
買ったばかりの現代の一般的なコンピューターは、何というか、「小包回し」ゲームの小包のようなものだ。家族みんなが触ってみる。お父さんもお母さんも、もしかするとおじいちゃんやおばあちゃんも、それから子供たちも。親戚やお友達がいじることもあるかもしれない。みんなが好きなことをするだろう…自分が使いたいものをインストールし、お気に入りのサイトを訪れ、システム設定を変更し、さまざまなメッセンジャーを使い。この小包コンピューター回しゲームは、1つのユーザープロファイルで、基本的なセキュリティ手段を講じることもなく行われることも珍しくない。
すると、どうなるか?ご想像のとおり。さまざまなウイルスがうごめく非衛生的な環境だ。複数のユーザーが基本的なウイルス対策なしで数日使用するだけで、コンピューターは悪の温床となり、インターネットや社会一般への脅威となってしまう。
この例ではもちろん、そもそもセキュリティ手段を講じていなかったことが問題だ。だが、現実になんら手段が講じられないことも多い。だからこそ、このようにひどく感染したコンピューターを修復するため実行アプリケーションの制限を追加したのだ。
この技術のコンセプトはシンプルだ。起動してもいいプログラムと、そうでないプログラムを管理できるようにすること。「許可されていないものはすべて拒否する」という原則、すなわち「ホワイトリスト(デフォルト拒否)方式」に基づいている。
コンピューターの管理者である一家の主は、許可するプログラムを決定しなければならない。他のプログラムはすべて自動的にブロックされる。本当に全部、だ。もちろん、あらゆる新種マルウェアや不要なツールバーなどもここに入る。この技術は、アンチウイルス分野の本質(マルウェアなどの不要なプログラムの検知)とは違う。言ってみれば、会員リストに載っていて常にクラブ(=コンピューター)への入場を許可される少数の「善い人」を「知る」技術だ。他の人は永遠にブラックリスト行きで、警備員(=管理者)がじきじきにフリーパスの発行を決断するまでは、入ることを許されないのだ。
実行アプリケーションの制限は、カスペルスキー インターネット セキュリティに搭載されるセキュリティ機能を補完し、プロテクションの全体のレベルを強化する。
実行アプリケーションの制限がコラボする機能の例には、保護者による管理がある。アダルト向けコンテンツやインターネット中毒から子供を守り、親が求めてやまない心地よい安心感を与えてくれる機能だ。もちろんそれでも、好奇心旺盛な子供が悪質なファイルに遭遇する可能性や、「正式なコンテンツ」を装ったサイトからシステムに何かを感染させてしまう可能性は残る。それに、100%清廉潔白なサイトからマルウェアがやってくることだってある – ハッキングされてサイト自体が感染してしまっていれば。しかし、実行アプリケーションの制限を有効にしておけば、子供の(それに大人の)(あとインターネットの)あらゆるいたずらから、コンピューターを軍事基地並みに強力な究極のセキュリティで保護することが可能なのだ。
実行アプリケーションの制限に話を戻そう。
これはカスペルスキーの法人向けソリューションからカスペルスキー インターネット セキュリティ 2014に取り入れられた技術(逆のパターンの方が多い)で、法人向け製品ですでに2年にわたって効果を発揮してきた。多くのお客様にその有用性が認められ、真の人気機能となった。
しかし、企業向けの姿では個人ユーザーに適さない部分もある。個人向けの製品には高い柔軟性が求められる。また、わずらわしい質問をしすぎない賢さが求められるし、一般的な家庭用ソフトウェアの環境や癖を受け入れて、できる限り自動的に、すばやく動作しながらも、よりがっちりした企業向け製品と同レベルの保護を提供しなければならない。つまりは、利便性と安全性の両立だ。
カスペルスキー インターネット セキュリティ 2014に搭載される実行アプリケーションの制限と企業向けバージョンとの主な違いは、使用開始前に行う徹底的な準備という点にもある。実行アプリケーションの制限機能は、製品のインストール後は既定で無効になっているので、許可するものと許可しないものをユーザーが決める必要がある。しかし、このおかげで、カスペルスキー インターネット セキュリティの異常に厳しいふるまいがコンピューターに与える影響を見てユーザーがショックを受ける事態を避けられるのだ。
カスペルスキー インターネット セキュリティはこの起動前の準備段階で、使用されているすべてのプログラム、DLL、スクリプトの棚卸しを、ダイナミックホワイトリストを使って自動的に行う。その後ユーザーは準備された一覧を見て、何か変えたければ(ソフトウェアの分類に関して個人的な希望があれば)変更をほどこし、[OK]を押す。これで、さらに高いレベルの新しいプロテクションを備えたコンピューターを使い始めることができる – 完全に「チェックされた、信頼できる」環境で。
私たちの保有する信頼済みソフトウェアのデータベースは世界で唯一認定を受けており、このようなデータベースとしては世界最大クラス(テストではすべての正規ソフトウェアの94%が登録されていることが実証済み、現在のソフトウェア数は合計で8億5,000万以上)ではあるが、今後、見落とされるプログラムが出てくる可能性は十分に考えられる。しかし、それは避けられないことだ。絶えず新しいソフトウェアが作成されているし、バージョンアップやパッチも作られている。こうした新しいソフトウェアはすべて、Webを通じて瞬く間に世界中に配信される。どれもがすべて「信頼」ステータスに値するものかもしれないが、私たちはスーパーマンではないので、全部には手が回らない。しかしご心配なく。この段階で実行アプリケーションの制限のもう1つの機能、信頼するドメインの出番となる。
信頼するドメインを活用して、ソフトウェアの提供元であるWebサイト(開発元やファイル置き場)に対して一種の評価を実施し、各サイトの信頼レベルを格付けする。マルウェアを配信したことがないことが判明しているサイトには高い評価が付けられ、そのサイトが提供する新しいソフトウェアはすべて自動的に「信頼済み」に分類される(当社のWhitelisting Labがさらに分析した結果、その判定が変わる場合もある)。
頻繁に更新されるプログラムモジュールについての問題も、解決済みだ。1つ1つのファイルを分析に回すのではなく、信頼するオブジェクトを「継承する」という方法を採用したのだ。いわば、アプリケーションの信頼の連鎖だ。たとえば、信頼するプログラムの更新が提供された場合、信頼済みステータスが自動的に継承される。これで、システム全体の柔軟性、適応能力、自立性が強化されるわけだ。素晴らしい。
さらにもう1つ、小さいが同じくらい魅力的な特徴がある。
あるアプリケーションを信頼しているとしよう。しかし、そのアプリケーションに予想外のぜい弱性が見つかり、サイバー犯罪者が悪質なマルウェアを送り込んできた。または、開発元からデジタル証明書が盗まれ、なにかバックドアを埋め込むのにこのソフトウェアが悪用されたと仮定しよう。
まあ、カスペルスキー製品を使用していれば(当然)何の心配もいらない。私たちは、こうしたシナリオをすでに(ずっと前から真剣に)考えてきたのだから。カスペルスキー インターネット セキュリティ 2014にはセキュリティ回廊(通るべき道、とでも言おうか)がある。プログラムの基本的な動作にはこれだけあれば十分、という一般的なアクションをまとめたものだ。信頼するアプリケーションでさえ、このセキュリティ回廊の制限を外れることは許されない。たとえば、シンプルなテキストエディタが突然、システムプロセスにコードを挿入したり、ドライバーをロードしたりする必要に迫られることがあるだろうか?こうした動作は明らかにセキュリティ回廊を逸脱している。つまり、その動作は許可されない。
ここまで読んで、「カスペルスキー インターネット セキュリティに、どうしていろんなシグネチャの手法やブラックリストなどのセキュリティ機能が必要なのか?」と疑問に思う人があるかもしれない。実行アプリケーションの制限さえあれば、コンピューターの理想的なプロテクションが実現するのでは、と。これから現れる脅威を恐れる必要はないし、必要なのは最小限のリソースだけで、自律性も申し分ないではないか。それに、他の開発元がホワイトリスト方式をほとんど、あるいはまったく採用していないのはどういうことなのか?
最後の質問に関して言うと、他社がホワイトリストに消極的なのは、開発の初期段階でも、開発プロセス全体においても、関連技術に大規模な投資が必要になるからだ。たとえば、当社でこのプロジェクトに従事するエキスパートは、ソフトウェア開発者やマルウェアアナリストなど、数十名に及ぶ。私たちは専門のWhitelisting Labまでをも設立し、外部の開発企業と特別なパートナープログラムを結び、各社のソフトウェアを当社のデータベースに送信してもらっている。さらに、複雑な技術とビジネス基盤が必要で、そのインフラにも定期的なケアと投資が不可欠だ。
さて、なぜ実行アプリケーションの制限以外のセキュリティ機能が必要なのか、という疑問に戻ろう。サイバー攻撃の経済学についてはすでにこちらでお話ししたとおりだ。私たちの課題は、ある程度総合的なプロテクションを(できるだけ多くの異なるレベルで、可能な限り効果的な方法で)作成することであり、それを乗り越えるための金銭的なコストは限りなく高い。結局のところ、絶対に破られないプロテクションは存在しない。防御をすり抜けるためのコストの計算が存在するだけだ。こうした状況を考えると、実行アプリケーションの制限と、従来のセキュリティ機能を組み合わせて使用した方が、従来のセキュリティ機能だけを使うよりもずっといいはずだ。一部のサイバー犯罪者が、私たちの第一段階のプロテクションを乗り越えるだけの頭脳や手段を持っていたとしても、さらなるプロテクションがそこに立ちはだかるのだ。
カスペルスキー インターネット セキュリティ 2014に関する投稿の第1弾はここまで。次回をお楽しみに!