Enterprise Watch
最新ニュース

シマンテック、仮想化ベースのセキュリティ先進技術など説明

Symantec Research Labs研究成果

 株式会社シマンテックは4月3日、Symantec Research Labsが行っている研究成果について記者説明会を開催。2種類の新技術「VIBES」と「DeepClean」を紹介した。いずれも研究中のプロトタイプで製品化などについては一切が不明だが、これまでにない方法でセキュリティを高める先進的な内容となっている。


仮想化ベースのエンドポイントセキュリティ「VIBES」技術

米Symantec リサーチ担当バイスプレジデントのジョー・パスクア氏

VIBES概要図。通常は「User」モードで必要に応じて切り替える

Web上のスプレッドシートを開くときなどに、ほかの環境から切り離された「Playground」モードへ移行する
 VIBESは、仮想化技術を応用したエンドポイントセキュリティ技術。概念としては、ユーザーPC上で複数のVM(仮想マシン)を稼働させ、それぞれに異なるセキュリティレベルを設定。ユーザーのアクティビティに応じて自動的にVMを切り替えるというものだ。

 米Symantec リサーチ担当バイスプレジデントのジョー・パスクア氏は、「必要なセキュリティは、ユーザーごとに異なるし、PC上でどんな操作をするかによっても異なる。例えば、Web上で個人情報を入力する際や、内容の不明なファイルを開く際などは高いセキュリティが求められる。とはいえ、常にセキュリティを高い状態にしておくと、利便性が損なわれてしまう。1つ考えられる方法として、複数台の物理PCを用意して、1台は通常使用に、1台は安全性重視で、1台はテスト用に、など使い分ける方法があるが、コストもかかるし誰もそんなことはしたくない。VIBESは仮想化技術を応用することで、1つの環境でこれと同じことを実現するものだ」と説明する。

 具体的には、ユーザーPC上に3つのVMを稼働させ、標準的な「User」、高セキュリティの「Trusted」、テスト用として他VMやネットワークから完全に切り離された「Playground」として、それぞれを設定。普段は「User」モードで使用して、HTTPS接続開始をトリガーに「Trusted」モードに切り替える。また、不明なアクティブコンテンツ(例えば、Webサイト上のスプレッドシートなど)を取り扱う際には、マクロウイルスなどが仕込まれていても影響が広がらないように、「Playground」モードに切り替える。

 VIBESとは、この、3つのVMを稼働させる仕組みと、トリガーによって自動的にVMを切り替える仕組みのことだ。「切り替えは完全に自動で行われ、ユーザーは何も意識しないでシームレスに操作を継続できる」(パスクア氏)。

 当日行われたデモでは、Amazonで買い物をする時に、VIBESがどう動作するかが紹介された。デモでは分かりやすいように、現在のモードが画面上部のアイコンで把握できるようになっていた。

 AmazonのWebサイトに訪問した段階ではモードは「User」だが、商品を購入しようとカート画面に遷移したタイミングで自動で「Trusted」モードに移行。入力を終えてHTTP画面に戻ると、再び「User」モードに切り替わる。これらの動作が実にシームレスに行われる様子が見て取れた。

 「VMの切り替えは、ハイパーバイザー上の小さな制御ソフトで行っている。ここで重要なのは、AmazonのWebサイト側からは、VMを切り替えているように見えてはいけないということだ。VMが切り替わればOSもWebブラウザも切り替わることになるので、そのままでは、Webサーバーがセッション管理などで混乱してしまう。そこで、対外的には1台のPCに見えるように、Cookieなど必要な情報の移行も制御ソフトで行っている。このデモにおいても、買い物の操作が完全にシームレスに行えたのは、そういうワケだ」(パスクア氏)。

 現状はまだプロトタイプ。ゆえにトリガーは「HTTPS接続時」のみだが、そのほかのさまざまなユーザーアクティビティに応じてVMを切り替えることも可能になる予定。また、今回はLinuxとVMwareの組み合わせだったが、OSやハイパーバイザーの種類は問わないという。


現状のモードが把握できるアイコン。左から「Trusted」「User」「Playground」 商品を選ぶHTTPの画面では「User」モード 購入手続きに入る

HTTPSが開始したタイミングで「Trusted」モードへ移行 購入内容を確認する間も「Trusted」モードが継続 トップページのHTTP通信に戻ると自動で「User」モードへ移行する

ファイル発行元のホワイトリストを作る「DeepClean」技術

管理画面からアラート情報、発行元一覧やその評価情報などが確認できる
 一方のDeepCleanは、「ノートン 2009」で実装された「ノートン インサイト」の姉妹機能のようなものだ。ノートン インサイトは、ファイルの普及率や顧客の意見から、ファイルのホワイトリストを構成し、そこに含まれるファイルをウイルススキャンの対象外とすることで、検索の高速化を図る機能である。

 DeepCleanでは、これと似たようなことを企業で実施する。ネットワークの境界に専用のアプライアンスを設置して、インターネットから企業内へ流れ込むダウンロードトラフィックの監視を行い、どこの発行元からパブリッシングされたものなのかを分析する。そして、「Symantecが信頼する発行元ではない場合はホワイトリストには追加せず、fujistu.comのように信頼できる発行元の場合にハッシュをSymantecに転送してホワイトリスト化する」(パスクア氏)というわけだ。

 同技術の開発に至った背景には、ホワイトリストが今後、さらに重要性を増すという予測がある。「同社でも1日に1万個の新種を収集しているが、センサーデータから正当なアプリケーション数をマルウェア数が上回る変曲点が観測された。こうなってくると、ブラックリストよりもホワイトリストを作る方が数が少なく済むことになる。そのため今後、ホワイトリストはセキュリティの重要な位置を占めるだろう」(同氏)。

 VIBESと同様、こちらも製品化のロードマップなどは明らかにされなかったが、すでにワールドワイドでのテスト運用は始まっているという。同氏は「ノートン インサイトとDeepCleanを1つにまとめたものが、世界でもっとも正確で総合的なホワイトリストと、ファイルの評価インフラを構築して管理するための評価システムになる」としている。


 世界各国に散らばるSymantec Research Labsでは日夜こうした新技術の調査・研究が行われている。部門としては、ビジネスにかかわる研究を行う「Core Research」、グループ内の調査結果から新製品を検討する「Advanced Consepts」、政府と協力して研究を行う「Government Research」、教育機関と協力して研究を行う「University Research」が存在し、密に連携された体制が整っているという。

 ノートン インサイトや「ブラウザディフェンダー」、アンチウイルスエンジンのパフォーマンス向上などもここで研究されているものだ。パスクア氏は「詳しいことはまだいえないが、現在もGovernment Researchから生まれ、Core ResearchやAdvanced Conseptsなどで調査が行われている大きな研究がある。また半年後にここへやってきて、その時には詳細を説明できることを楽しみにしている」と述べ、会場の期待をあおって閉会となった。



URL
  株式会社シマンテック
  http://www.symantec.com/ja/jp/


( 川島 弘之 )
2009/04/03 18:40

Enterprise Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.