[技術解説]
ファイルの中身を一切変えずに無害化、OPSWAT幹部が“Deep CDR”の仕組みを解説
2024年10月30日(水)日川 佳三(IT Leaders編集部)
OPSWAT JapanはCDR(コンテンツ無害化・再構築)によるマルウェア対策製品「MetaDefender」を提供している。米OPSWATでCPO(最高製品責任者)を務めるイーイー・ミャオ氏は、同製品の特徴として、モジュール型アーキテクチャで用途に合わせた機能の追加が容易なこと、ファイルの中身を一切変えず、入れ子構造のファイルも再帰的に無害化できる“Deep CDR”の仕組みを説明した。
米OPSWAT(オプスワット)は、CDR(Content Disarm and Reconstruction:コンテンツ無害化・再構築)によるマルウェア対策製品「MetaDefender」シリーズを提供している。CDR以外のセキュリティ機能も含めて、Webダウンロードファイルやメール添付ファイル、APIを介したファイル送受など、ユースケースごとに製品をラインアップしている。
拡大画像表示
CDRは、Office文書やPDFといったファイル形式を認識したうえで、いったんファイルを構成する要素ごとにバラバラに分割し、悪意の可能性がある要素を削除または無害化し、最後にファイル形式を維持したまま再構築する。無害化の前後で文書ファイルはそのままの状態ながら、無害化前にファイルに含まれていたマクロやスクリプトなどを除去可能である。
ビジネス面では、IT領域のみならず、工場などのOT(制御システム)領域にも注力している。OPSWAT Japanは2024年7月に、東京オフィス内に工場システムを模したシミュレーションが可能な製品デモンストレーション設備「CIPラボ」を開設している(関連記事:ファイル無害化のOPSWAT、重要インフラ保護を重点領域に、デモ施設「CIPラボ」をオープン)。
直近の動きとしては、同年8月にNDR(ネットワーク脅威検知・対処)製品や脅威インテリジェンス(脅威情報の提供・分析)を提供する米InQuest(インクエスト)を買収。NDRについては2025年後半に製品化して提供する予定である。脅威インテリジェンス機能もMetaDefenderシリーズに取り込んでいく。
モジュール構造で機能追加を容易に、用途も広範にカバー
米OPSWATでCPO(最高製品責任者)を務めるイーイー・ミャオ(Yiyi Miao)氏(写真1)は、他社製品と比較したMetaDefenderの特徴について、モジュール型アーキテクチャによって用途に合わせた機能の追加が容易であること、CDRが入れ子構造のファイルも再帰的に無害化できることを挙げている。
ミャオ氏は、アーキテクチャがモジュール型であることに加えて、プラットフォーム化していることのメリットを次のように説明する。「CDRなどの機能モジュールをレゴブロックのように組み合わせることで、機能の追加・削除が容易に行え、用途に応じて必要な機能を組み合わせてワークフローを作れる。新しい機能を開発した際の追加も簡単だ」(ミャオ氏)。
MetaDefenderシリーズでは、「MetaDefender Core」の上にWeb連携やメール連携などの用途別のレイヤーが載っている。そこに、各用途で必要になる機能モジュール(ファイル無害化、マルウェア対策、情報漏洩対策、脅威インテリジェンスなど)を組み合わせる形となる。
例えば、メールセキュリティの用途には、添付ファイルやURLで示されたファイルについて、パターンファイルによる静的なウイルススキャン、サンドボックスによる動的なふるまい検知、ファイル無害化などの機能を組み合わせる。メールの中身に対しては、ビジネスメール詐欺(BEC)やフィッシング詐欺のURLを検知することができる。
この仕組みの下、MetaDefenderは幅広い用途をカバーする。中核機能のCDR/ファイル無害化のインタフェースには、REST APIによるファイルの送受のほか、WebプロキシサーバーとのICAP(Internet Content Adaptation Protocol)連携によるWebダウンロード、メール連携、ファイルサーバーやUSBメモリーの参照などがある。
メール連携は、MetaDefender自身がメール中継サーバー(MTA)として機能し、メール中継経路上でインラインで添付ファイルを無害化する製品と、既存のメールサーバー(Office 365/Exchange Online)とGraph APIで連携して動作する製品の2種類を用意している。
●Next:OPSWATが“Deep CDR”と呼ぶ根拠は
会員登録(無料)が必要です
- 1
- 2
- 次へ >