[Sponsored]
[IT Leaders Tech Strategy 前提のゼロトラスト、不断のサイバーハイジーン]
未知の脅威をほぼ100%検出/排除。新時代のゼロトラストを可能にするOPSWATの独自技術とは
2024年10月4日(金)
外部攻撃の巧妙化を受け脅威検知が困難さを増す中、企業ではゼロトラスト・ネットワークやEDRによる「脅威の侵入を前提」とするセキュリティ対策が講じられるようになった。ただし、脅威の侵入は少なければ少ないほど望ましい。2024年8月29日に都内で開催された「IT Leaders Tech Strategy 前提のゼロトラスト、不断のサイバーハイジーン」(主催:インプレス IT Leaders)のセッションに、OPSWAT JAPAN 取締役社長の高松篤史氏が登壇。第三者機関による評価で脅威検出/排除率100%を実現した同社の技術と共に、ITとOTの双方の領域に展開するソリューション群について解説した。
提供:OPSWAT JAPAN株式会社
「脅威の侵入ゼロ」を支援する企業とは?
「1時間ごとに1万4000個」。この数字、実はIPA(独立行政法人情報処理推進機構)が発表している新たなマルウェアの出現頻度だ。1年間に換算すれば、その数は実に1億900万にもなる。
「この状況にあって、従来からのパターンファイルなどによる脅威への防御ではエンドポイント、さらに社内システム/ネットワークを保護しきれないのは明らかです」と語るのはOPSWAT JAPAN 取締役社長の高松篤史氏だ。
写真1:OPSWAT JAPAN 取締役社長 高松篤史氏そんな状況の中で、いま採用が広がっているのが、「ゼロトラスト・ネットワーク」や「EDR」といった対策だ。ゼロトラスト・ネットワークとは「何も信頼しない」を前提とするセキュリティ・モデルであり、通信の都度、端末とユーザー、さらにアクセス先の安全性も確認。すべてが信頼できる場合にのみアクセスを認め、脅威の侵入を防御する。万一、脅威の侵入を許したとしても、侵入後のふるまいからEDR(Endpoint Detection and Response)が脅威をいち早く検知し、迅速に隔離/調査/復旧を進め、被害を最小限に食い止める。
もっとも、セキュリティ担当者からすれば、脅威の侵入は少なければ少ないほど望ましい。その観点で今、「脅威の完璧な防御」で注目される企業がある。それが、重要インフラ保護(CIP:Critical Infrastructure Protection)ソリューションを手掛けるOPSWATである。
脅威検出を支える2つの独自技術
高松氏はOPSWATの侵入防御のアプローチを空港の金属探知機に例えて「荷物、つまりやり取りされるデータの中身を徹底的に調べ、危険物である脅威を完全に取り除きます」と説明する。
言葉にすると簡単だが実践は難しい。冒頭に述べたように、シグネチャなどでは新たな脅威をそもそも検出できず、攻撃手法の巧妙化(ファイル内にマルウェアは存在せず、代わりに埋め込まれた正規のスクリプトによりマルウェアを別にダウンロードさせるなど)も相まって、脅威の検出難度は増すばかりだ。
OPSWATは次の2つの技術で脅威を確実に炙り出す。まずは複数のアンチウィルスエンジンを用いた「マルチスキャン」だ(図1)。最大33のエンジンを併用したスキャンであり、この段階でトップ1万のマルウェアに対して99.2%の脅威の検出/防御を実現できるという。「ロシアから大量のサイバー攻撃を受け、ノウハウも豊富なウクライナのベンダーのエンジンも採用しています」(高松氏)。
図1:最高99.2%のマルウェアを検出する「マルチスキャン」(出典:OPSWAT JAPAN)拡大画像表示
残る0.8%の脅威検出/排除のために用いるのが「Deep CDR(無害化措置)」だ(図2)。Deep CDRではファイルの解析を通じ、埋め込まれた不審なハイパーリンクやスクリプト、埋め込みオブジェクトなどを強制削除する。
図2:不要なコンテンツを強制的に除去する「Deep CDR」のしくみ(出典:OPSWAT JAPAN)拡大画像表示
OPSWATの2つの技術の優秀さはセキュリティ製品検査機関のSE Labsによるテストで実証済みだ。脅威の検出率、除去率ともに実に100%を達成しているという。
「文書ファイルに埋め込まれた画像やQRコードなどにマルウェアが仕込まれるケースもありますが、それらも対象に不審なスクリプトのすべてを削除し無害化します。オリジナルのファイルの使い勝手が一切変わらないことも、他の無害化ソリューションと比べた際のメリットです」(高松氏)
独自のサンドボックスで10倍の高速処理も可能に
Deep CDRは現在、179のファイル形式に対応し、それ以外のファイルの脅威検出にはサンドボックスを用いるのだという(図3)。その一番の特徴は仮想OSを使わない点だ。
図3:OPSWATのサンドボックスはエミュレーション技術を用い仮想OSを使わないため、フィンガープリントの漏洩による脅威検出精度の低下を招きにくい(出典:OPSWAT JAPAN)拡大画像表示
「従来型の仮想OSを用いたサンドボックスでは、フィンガープリントの漏洩に起因するマルウェア側の対応により、脅威検出が困難でした。対して当社のサンドボックスはエミュレーション技術を用い仮想OSを使わないためその恐れがなく、かつ、並行処理により、従来の10倍も高速に処理できます」(高松氏)
これらの技術をベースに、OPSWATはIT/OTの両領域でセキュリティソリューションを幅広く提供している。そのうち、IT領域の代表的なソリューションが以下である。
- MetaDefender Emailセキュリティ:Microsoft 365と連携し、脅威を取り除いたメールのみを届ける
- MetaDefender Secure Storage:オンラインストレージと連携し、保管されているファイルの脅威を取り除く
- OPSWAT SBOM:ソフトウェアの既知の脆弱性を特定し、ライセンスを検証し、オープンソースソフトウェア、サードパーティの依存関係、およびコンテナのコンポーネントインベントリを生成する
Zoomや日立エナジーなど、導入実績もすでに豊富
一方のOT領域の代表的なソリューションが以下である。
- OPSWATのキオスク端末:工場内に持ち込むデータを一旦取り込み、無害化する
- MetaDefender Drive:PC用脆弱性検出/削除用USBデバイス。PCに接続することでスキャンできる
- MetaDefender Kiosk/MetaDefender Managed File Transfer:マルチスキャンやサンドボックスなどの多層的な保護下で、許可されたファイルの許可された先への安全なファイル転送を実現する
OPSWATのソリューションはすでに多くの企業で活用が進められている。ZoomではGitHubからダウンロードした開発用バイナリに潜む脅威排除で利用しているほか、日立エナジーでは自社が提供するファームウェアの事前確認用途で用いられているという。
脅威の検知率、削除率ともほぼ100%を達成したOPSWATの技術。「社内侵入ゼロ」の達成に向けた切り札となるはずだ。
●お問い合わせ先
OPSWAT JAPAN株式会社
フィールドマーケティングマネージャー:青木一人
Email:Kazuto.aoki@opswat.com
