Blue Planet-worksは2019年1月21日、Windows Server向けマルウェア対策ソフトウェアの新製品「AppGuard Server」を発表した。不正なコマンド実行や重要プロセスのメモリー情報窃取など、サーバーOSに対する不正な行為をブロックすることによって、様々な攻撃からサーバーOSを守る。2018年12月26日から提供しており、価格はオープン。
AppGuard Serverは、サーバーOSに対する不正な行為をブロックすることによって、様々な攻撃からサーバーOSを守るセキュリティソフトである。マルウェアを検知するというアプローチではなく、マルウェアがサーバーOS環境に対して実施する攻撃行為をブロックするというやり方で守る(図1)。これにより、未知のマルウェアなどから効果的にサーバーOSを守ることができる。
図1:AppGuard Serverの仕組み。不正なコマンド実行などをブロックすることによっって、マルウェアや不正アクセスからサーバーOSを守る(出典:Blue Planet-works)拡大画像表示
AppGuard Serverには、基礎となった既存ソフトとして、WindowsのクライアントPCをマルウェアから守るソフト「AppGuard」がある。AppGuardを使うと、信頼できるソフトによる許可された行為だけを実行できる。一種のハードニングソフトと言えるが、ポリシーの設定が容易である。Webブラウザなどの親プロセスから呼び出された子プロセス群にも同一のポリシーを適用し、許可していない行為をブロックできる。
クライアントOS向けのAppGuardでは、個々の親プロセスごとに、4つの行為について許可/不許可を設定できる。(1)システム領域への書き込み、(2)レジストリの変更、(3)プライベートフォルダの参照、(4)動作中の他のアプリケーションのメモリーの読み込み・書き込み、である。これらによって、マルウェアの活動を阻止できるとしている。
今回発表したAppGuard Serverは、クライアントOS向けのAppGuardの機能をベースとしつつ、サーバーOSに特有のセキュリティ要件を満たすかたちで新たに設計したソフトである。クライアントOS向けのAppGuardと比べると、ブロックする行為の種類などが異なっている。例えば、重要プロセスのメモリー情報の窃取、不正な通信を行うためのシェル起動、不正なコマンド実行、などをブロックする。
