ノートン セキュリティの軽さと防御力の秘密

  • このエントリーをはてなブックマークに追加

お店に行けば数多くのセキュリティソフトが並んでいますが、価格以外に何が違うのでしょうか?

少々長くなりますが、これを読めば基礎的なセキュリティ技術について、そしてノートンについてご理解いただけることと思います。

本記事ではノートン セキュリティが他社に真似することができない独創的な防御システムを構築して「軽さ」と「強さ」の両立を実現している技術や、かつて「何故ノートンは重かったのか」といった理由を以下の項目に沿って紹介していきます。

1. ノートン セキュリティを構成する複数の保護層

2. 連携する各保護層と自動学習

3. 不正送金被害の増加と未知のマルウェア対策の重要性

4. 軽快なパフォーマンスと妥協のないセキュリティの両立

 

最初にノートンの特徴を示す数字をいくつか紹介します。

世界で2.4億人のデバイスを守り

240mp_device

 

そして、年間2.4兆件の脅威からお客様を保護した実績を誇ります。


これらの結果を実現する組織として、世界15カ所にセキュリティ調査研究所を置き

1,000人以上のトップクラスのサイバーセキュリティアナリストたちが、毎日210億のデータを分析210b_data

毎日120万件の新しい脅威をブロックしています。世界中でどこかの研究所が必ず動いているため、365日24時間研究が止まることはありません。

セキュリティソフトにとって大事なことはまず、高いセキュリティレベルを確保すること。そして、それを維持しつつパソコンなどのデバイスの快適な動作を両立させることです。

次章よりそれを実現するノートン セキュリティの技術をご紹介します。

1. ノートン セキュリティを構成する複数の保護層

まず、ウイルスなどのマルウェアは大きく分けて2つの種類があります。

すでに発見されている「既知のマルウェア」と、まだ誰にも発見されたことのない新しい「未知のマルウェア」です。

例えるならば、「既知のマルウェア」は既にタミフルなどのワクチンで既に治療法が確立されている「従来のインフルエンザ」ウイルスのようなものであり、「未知のマルウェア」は、これから出てくるかもしれない未来の病原ウイルスと考えると分かりやすいでしょう。

では、既知のマルウェアだけでなく未知のマルウェアからも、ノートンはどのようにパソコンなどを守っているのでしょうか?

ノートンは以下の図のように複数のセキュリティ技術を保護層として実装し、ネットをはじめいろいろな形で入ってくる脅威に対して効果的に働きます。

また、もしもの感染時やシステムの奥深く入り込んでしまい通常のセキュリティソフトでは修復困難なマルウェアの感染に対して、ノートン パワーイレイサーやノートン ブータブルリカバリツールといった修復ツールを利用することによってさらに強い力で脅威を排除することができます。

無料のセキュリティソフトは、この中でも一番基礎的な技術である「アンチウイルス」のみを実装しているものが大半を占めているのが実情です。

有料のセキュリティソフトの中でもこれだけのセキュリティ技術を同時に実装し、かつパソコンの軽さを損ねないのはノートンだけと言っても差し支えないでしょう。

では、皆さんもご存じのセキュリティ技術である「アンチウイルス(ウイルス対策)」からそれぞれの役割などについて説明します。

1-1. アンチウイルス : 既知のマルウェアからの防御

多くのセキュリティソフトが採用する技術である「アンチウイルス」は「ウイルス対策」とも言われ、最も基礎的かつ一般的なセキュリティ技術であり、ノートンでは(ネットからマルウェアが侵入してくると仮定した場合)ファイアウォール、IPSに次ぐ保護層に配置されます。(ゼロデイ脆弱性保護は別の観点からの保護です)

このアンチウイルスの役割は

「既に知られている – 既知のマルウェアからパソコンを守る」

ことにあります。

black_list

すでに知られているマルウェアからパソコンを守るために用いられる技術は、ブラックリストに基づいてデバイスをスキャンしてマルウェアを検出する「パターンマッチング」という方法です。

マルウェア情報が書いてあるブラックリストをセキュリティソフトが読み込み、侵入した時点でマルウェアを排除し、パソコンを守るというもので「指名手配犯のリストを常に見て、それと同一の犯人を捕まえる」という、実際に警察が犯人逮捕に対して行うアプローチと同じものと言えます。

メリットとしては、マルウェアの検知と駆除が軽く・速くできることですが、デメリットとしては、まだ知られていない「未知のマルウェア」を検知することができないことです。

一方で日々マルウェアが作られているためブラックリストを更新し続ける必要があります。数千万種のサンプルを分析し、マルウェアの属性などを自動的に学習するマシンラーニングシステムも備えたノートンはそのブラックリストが常に自動更新されています。

1-2. ゼロデイ脆弱性保護(PEP) : ゼロデイ攻撃を未然に防ぐ

ノートン2017より搭載されたゼロデイ脆弱性保護(PEP : Proactive Exploit Protection)はノートンのマルウェア保護層の図では一番左の部分にありますが、最初の保護層というわけではありません。

既存のセキュリティ技術はマルウェアやそれに伴う不正な通信に着目してその保護にフォーカスしていますが、この機能はソフトウェアの脆弱性とそれを悪用したプログラム(エクスプロイト)に着目した従来とは全く別のアプローチによる保護層を展開します。

このPEPの役割は、

「脆弱性が修正される前にそれを狙う攻撃(ゼロデイ攻撃)からパソコンを守る」

ことにあります。

ソフトウェア(OS、ブラウザ、JAVA、FLASH、Acrobatなど)には一般的に脆弱性と呼ばれるソフトウェアの欠陥があります。一般的に犯罪者はこれらの脆弱性を悪用してパソコンに侵入を試みますが、その際に犯罪者が使用するエクスプロイトの攻撃パターンの先を見越して防御する先進技術です。

これ以上の詳細は企業秘密のためここで説明することはできませんが、PEPは世界最大規模のセキュリティ情報ネットワークを持つシマンテックであるからこそ実装できた技術であると言えます。

1-3. ファイアウォール : 許可されていない通信を遮断

ファイアウォール(Firewall:防火壁)は多くの有料セキュリティソフトについている機能であり、PCと外部のネットワークの通信を制御するもので、通常はネットワークとの境界となる一番外側の保護層に配置されます。(IPSと共にネットワーク保護層の一部として記載されていることもあります)

このファイアウォールの役割は、

「許可されていない通信を遮断する 」

ことにあります。

実際、60,000以上あるパソコンへの出入り口(ポート)の扉を条件によって開いたり、閉じたりします。条件に合わない場合、その扉を閉めることで許可されていないアクセスを遮断することができます。

つまり、ファイアウォールが無い場合パソコンと外部ネットワークの出入り口に扉が無い状態なので、誰でも出入り自由(アクセスし放題)という結果になります。

ただ、Windows もWindows XPからファイアウォールが搭載されるようになったため、アクセスされ放題というわけではなくなりましたが、それ以前はファイアウォールが標準搭載されていなかったため、ウイルス(正確にはワーム)がアウトブレイク(大規模感染)するといったことも発生しました。

ファイアウォールは「インバウンド通信」と「アウトバウンド通信」2種類の通信を制御します。

パソコンの外部から内部に来るインバウンド通信を制御して不要な外部からのアクセスを遮断し、内部から外部に出ていくアウトバウンド通信を制御して内部のデータが普段使用しない出入り口から持ち出されそうな場合などに外部へのアクセスを遮断します。

Windows XPに標準搭載されているファイアウォールはインバウンド通信の制御はしますが、アウトバウンド通信に関しての機能は搭載されていませんでした。Windows Vistaからはアウトバウンド通信のファイアウォールも搭載されましたが、デフォルトでは無効になっています。

Windowsのアウトバウンド通信のファイアウォールを有効にした場合は、1つ1つのアプリケーションの通信を許可するなどの設定を行う必要があります。とても面倒な作業かつ、ある程度の技術力が無いと正しい設定ができないので通常はセキュリティソフトのファイアウォールを使用することをおススメします。

ただ、出入り口である扉の開け閉めだけを行うファイアウォールは単に外部ネットワークに面した最初の保護層に過ぎず、完璧とは言えません。

たとえば、HTTP(Hypertext Transfer Protocol)の通信を行うポート「80」を閉じてしまうとホームページを見ることができなくなってしまいます。つまり、このような開かれているポートであれば悪意のある通信であっても通過できるということになります。

では、ファイアウォールをすり抜けたマルウェアをどのようにして検知するのでしょうか?

1-4. 侵入防止システム (IPS) : 通信内容の監視および脆弱性を悪用する攻撃からの防御

侵入防止システム(以下IPS) は通信を監視してパソコンをマルウェアなどから守る、ファイアウォールと同様に有料のセキュリティソフトでは一般的な機能です。ノートンではファイアウォールに次ぐ保護層に配置され、ファイアウォールを通過した通信内容の監視を行います。

このIPSの役割は

「通信の内容を監視して、不正な通信を遮断する」

ことにありますが、さらにノートンのIPSは

「脆弱性を悪用する攻撃からパソコンを守る」

という脆弱性対策の一面も持ち合わせています。

1-4-1. ファイアウォールとIPSの違い

最初に、ノートンに搭載されるファイアウォールとIPSの違いを空港の検査のシステムに例えて説明します。

diff_FW_IPS

空港の搭乗口を通るためには、旅行者なら飛行機のチケットを持っていれば通れます。
ファイアウォールはこのようなチケットをチェックするゲートと似ていて、通信許可を持っているプログラムは通信をさせ、通信許可を持っていないプログラムは通信をさせません。ファイアウォールはこのような制御をしています。

空港には、チケットをチェックするゲートに加え、手荷物をX線検査などによってセキュリティチェックをすることで、飛行機に乗る人の中に危ない物を持った人がいないかチェックしています。
これはIPSと似ていて、ファイアウォールが承認して入ってきたデータの内容を見て安全かどうかを見ています。

Webサイトにアクセスするという(先項で説明したポート80番を使った通信)行為は、仮に攻撃用の悪意のあるサイトであっても一般的に許可されている行為と同じなのでファイアウォールは通信を許可してしまいます。

だから、IPSのように通信から入ってくるデータを監視するシステムがとても重要なのです。

1-4-2. 脆弱性を悪用する攻撃からの防御

次に、ノートンのIPSが持つ脆弱性防御について説明します。

IPS

1-2のゼロデイ脆弱性保護(PEP)でも述べたように、ソフトウェアには一般的に脆弱性と呼ばれるソフトウェアの欠陥があります。犯罪者たちはこの脆弱性を悪用して入り口とし、そこから数々のマルウェアをパソコンに侵入させようと試みます。
ソフトウェアに脆弱性が見つかるとシマンテックではその脆弱性に対するIPS定義ファイルを即座に作成。脆弱性を悪用した侵入を防止し、攻撃からパソコンを守ります。
もちろん、ソフトウェアのアップデートを常に行い最新版を使用することも大事です。

しかし、ソフトウェアメーカーによっては脆弱性を修復するアップデートをリリースするのに時間がかかる場合があります。
また、自分のパソコンのソフトウェアを常に最新版に保つことができないこともあるでしょう。

実例として2012年にMac用のJavaに脆弱性が見つかった際、アップデートが出るまで60日間かかり、その間にMacが60万台マルウェアに感染したということもありました。

「未知のマルウェア」は脆弱性を狙って侵入しようとするものも多いため、脆弱性の悪用そのものを防ぐ防御システムがとても重要になってきます。

特にIPSでこの脆弱性対策を実装することは技術的に容易ではありません。

脆弱性を悪用させないようブロックするIPS定義ファイルの作成には非常に高い技術が要求されます。ほんの少しのバグでブラウザやその他のアプリなどを停止・誤作動させる非常に繊細なプログラムであるため、実際にブラウザを停止させてしまいお客様にご迷惑をおかけしたのも事実です。

しかし、多くの他社セキュリティソフトはシマンテック製品が行っている脆弱性ベースの防御システムを搭載していません。仮に搭載出来たとしても、繊細な定義ファイルをシマンテックと同等の早さで作ることは非常に難しいでしょう。

このIPSに搭載される脆弱性対策と、脆弱性攻撃パターンの先を見越したPEPのアプローチでノートンは近年増え続ける脆弱性を狙う犯罪者からの攻撃を徹底的に排除します。

1-5. レピュテーションシステム(ノートン インサイト) : 評価・評判に基づく保護

レピュテーション(reputation : 評価・評判)技術は一般的に世間の評価や評判に基づいたホワイトリストによる保護であり、一部の有料セキュリティソフトに搭載されています。ノートンではアンチウイルス保護層の次の保護層に「ノートン インサイト」として配置されます。

このレピュテーションシステムであるノートン インサイトの役割は

「安全なファイルをスキャン対象から除外して、パフォーマンスを向上させる」

ことにあります。

アンチウイルス保護層の「既知のマルウェアを検知する定義ファイル」がブラックリスト型であることに対して、インサイトはホワイトリスト型のアプローチを採用したセキュリティ技術です。

1-5-1. ブラックリスト型とホワイトリスト型の違い

では、「ブラックリスト型」と「ホワイトリスト型」の違いとは何でしょうか?

diff_blacklist_whitelist

ブラックリストはウイルスなどのマルウェアの情報をまとめたリストのことで、ホワイトリストはその逆で安全なファイルをまとめたリストのことです。

実際の例にたとえると、ブラックリストは犯罪者の名が掲載されており、ホワイトリストには善良な市民が掲載されています。ホワイトリストの中では、それぞれの善良な市民の日頃の行いによって段階的に市民の安全性が評価されています。

したがって、評判の良い人(パソコン内部では安全性評価が高いファイル)は原則として疑われる事がなく、犯罪者かどうか検査する必要はありません。この安全性が高いものの集まりがホワイトリストになります。

しかし、評判のあまり良くない人(パソコン内部では安全性評価が低いファイル)、またはこの世に産まれたばかりで評判が無い人(パソコン内部では、新しく開発されてまだほとんど使用されていない安全性評価の無いファイル)は検査をすることで事前に起こりうる犯罪を食い止めるという発想です。

少し考えていただけると分かると思いますが、ブラックリストよりもホワイトリストのほうが膨大になることが想像できると思います。一般的に犯罪者(ウイルスなどのマルウェア)よりも善良な市民(危害のない通常のプログラム)の数がはるかに多いことからも想像できるでしょう。

つまり、ホワイトリストには膨大なデータが入っていなければ信頼性の高い本当に使えるホワイトリストとは言えません。

1-5-2. ホワイトリスト型のノートン インサイトがあることで余計なスキャンが減少

insight

インサイトのホワイトリストは世界2.4億のユーザーから収集・蓄積した世界中のソフトウェアの普及度、定着度、安定性などのデータベースから作られています。ソフトウェアの安全性を見極める、業界で最初にリリースしたシステムです。

アンチウイルスで採用されるブラックリストに基づいた「パターンマッチング方式」では、ブラックリストが更新された際、前にスキャンをして安全と分かったファイルも再度スキャンします。(フルスキャン)

そのため、パソコンのパフォーマンスを低下させてしまいます。日々、新しいマルウェアが出てくるため、ブラックリストは毎日のように更新されます。その度にシステムをフルスキャンしていたらパソコンを使う時間が無くなってしまいます。

安全性を保ちながら、スキャン回数を最低限に減らすことができたらスキャンにかける時間を激減させることができます。ホワイトリストに登録されている安全なファイルをスキャンの対象から除外して、それを実現させた技術がホワイトリスト方式のノートン インサイトです。

ホワイトリストがあると、実際にどのように処理されることになるのか Microsoft OfficeのWordを例に説明します。

Microsoft Wordの実行ファイルは「WINWORD.EXE」であり、インストール後に第三者から変更されることは基本的にありません。バージョン毎の違いこそありますが、ファイルサイズも一度インストールされれば変わることはありません。また、非常に多くの人がこのファイルを使用しているため、このファイルは安全と評価して、スキャンをしなくてもいいと判断できます。

そして、多くのパソコンには共通に多く種類のソフトウェアがインストールされています。その中には変更されないファイルも多く存在しています。インサイトはこれらのファイルをスキャンの対象外にして、スキャン時のパソコンの負担を減らすのです。

1-5-3. ホワイトリストは規模が重要

インサイトのホワイトリストは2.4億ユーザーのパソコンなどから収集したデータなので膨大です。
非常に大きいデータのため、このデータはシマンテックのサーバーに存在しています。ノートン セキュリティはパソコンが作業をしていないアイドル時にこのホワイトリストにアクセスします。

先にもありますが、重要なのでもう1度お伝えするとこのホワイトリストはその規模が最も重要です。データが多ければ多いほど信頼性が増し、初めて実用に耐えるものになります。

実際にインサイトのデータベースは母数の確保と安全性の判断基準を作り、実際に使えるようになるまで数年の歳月をかけてデータを収集しています。

セキュリティソフト世界トップシェアのシマンテックが長い年月をかけて作り出し、今現在も更新されているホワイトリストを上回る規模のものを他のセキュリティソフト会社が作り出すのはほぼ不可能に等しいでしょう。

1-6. ふるまい検知(SONAR) : リアルタイム挙動分析による未知のマルウェアからの保護

ふるまい検知はヒューリスティック検知とも言われ、パソコン内で実行されるプロセスのふるまいや挙動を監視し、怪しい動きをするプログラムを検知する技術で、多くのセキュリティソフトに搭載されています。

ノートンではレピュテーションシステムの次の保護層に1,400種類以上の条件でプロセスのふるまいを監視するSONAR(ソナー)として配置されます。

このふるまい検知(SONAR)の役割は

「まだ知られていない – 未知のマルウェアからパソコンを守る」

ことにあります。

「既知のマルウェア」は既に知られている犯罪者「指名手配犯」と例えることができますが、「未知のマルウェア」はまだ罪を犯していない「初犯」の人に例えると分かりやすいでしょう。

どのようなふるまいを「怪しい」とみなすか、その判定をどのように行うか、は各セキュリティソフトによってまちまちですが、現実世界では未然に犯罪を防ぐために警官や警備員の数を増やして警戒を強めるのはご存じの通りです。

では、どのようにしてそのような初犯の人を捕まえるのでしょうか?

先にもある通りSONARでは1,400種類以上の条件でプロセスのふるまいを監視しています。怪しいプログラムやふるまいと言われても想像するのは難しいと思うので、人に例えてみます。

「包丁を持った人がいます。」

この人は怪しいと思いますか?この事実(条件)1つだけでは判断できませんよね?

では、この包丁を持った人が「調理場にいる」という条件が追加されたらどうでしょうか?自然なことで、危険とは思いません。
しかし、包丁を手に持った人が町にいたら危険です・・・いや、周りを見ると映画のロケのようです。それならそのような人がいても危険ではありません。
私たちは普段このように複数の条件を重ねて見た上で、人のふるまいが危険かどうかを判断しています。

これがパソコンでの動作の一例になると、例えば下の3つの条件を持つプログラムがあったとします。

「実行中なのに画面表示が一切無い」

「ユーザーのキーボード入力情報を収集する」

「データを外部に送信」

1つ1つの条件はそれだけでは「悪質」とは言えないかもしれませんが、複数の条件を重ねて見るとこのプログラムのふるまいは怪しいということになります。

つまり、監視条件の数は現実世界の警官や警備員の数と似た役割を果たし、精度の高い検知を実現します。

また、SONARはプロセスのふるまいを実際に動いている環境でリアルタイムに監視しています。

各社セキュリティソフトもふるまい検知を備えていますが、その多くはサンドボックス(仮想環境)で実際にマルウェアの動作を確認して「悪いことをしたら捕らえる」というアプローチだと思われます。

現実世界に例えるならば、何を破壊しても害の無い「箱庭」を作ってそこに犯罪者と疑わしい人を放ち、その動作を監視するといった感じでしょうか。破壊しても害のない箱庭であれば、監視がより少なくても問題ないのかもしれません。

このサンドボックスを用いたふるまい検知はシマンテックでは10年以上前にBloodhound技術として確立しており、非常に有用な手段ではあるのですが、近年のマルウェアはサンドボックスを検知し、そこでは動作しないものも存在します。

SONARは実環境をリアルタイムで監視しているため、そのようなサンドボックスを検知・回避するマルウェアも逃すことはありません。

しかし、破壊されて問題のない「箱庭」ではないため、1,400種類以上もの条件でプロセスの挙動を監視する必要があるのです。これは、他のセキュリティソフトになかなか真似が出来ることではありません。

なぜならば、このような条件数でプロセスをリアルタイムに監視するとパソコンの動作に負荷がかかり、とても重くなるからです。

しかし、ノートン セキュリティであればSONARでそのような多数の条件をリアルタイムで監視してもパソコンのパフォーマンスに影響を与えません。

その理由は、この後の第2章で説明します。

SONAR

1-7. システム修復ツール : もしもの感染時に、強力に脅威を排除し、修復

ノートンはもしもの感染時に、また感染してパソコンが正常に動作しない、起動しなくなってしまった場合に強力に脅威を排除し、元の状態に修復するためのツールを2種類用意しています。

ノートン パワーイレイサー

ノートン ブータブルリカバリツール

各社セキュリティソフトも同様に修復ツールを用意しているケースがあります。

修復ツール使用方については以下の記事をご参考ください。

感染したトロイの木馬を確実に駆除する5つの方法と今後の対策6つ

2. 連携する各保護層と自動学習

ノートンが複数の保護層を持っていることは先に説明した通りですが、性能の違いこそあれ複数の保護層を配置していることそのものは有料のセキュリティソフトであればさほど珍しいことではありません。

ノートンはそれぞれの保護層が独立して動くのではなく、それぞれが連携することよって速さと強さを実現しています。その主な2つの例を紹介します。

 2-1. SONARとインサイトの連携で軽さを実現

1-6で説明したSONARは1,400種類以上の条件でプロセスのふるまいを監視する非常に強力な防御システムです。

しかし、現実世界でも警官や警備員を大量に動員するとより安全にはなりますが、管理が難しくなったり、費用がたくさんかかったり、といった問題が同時に発生することになることは簡単に想像できると思います。

同様に、動作する全てのプロセスを1,400以上の条件で挙動監視するとメモリを大量に消費することになり、結果としてパソコンの動作が重くなることは先にも書いた通りで、他のセキュリティソフトがSONARと同数の条件を監視できない、ノートンより監視性能を落とさざるを得ない理由でもあります。

ところが、ノートン セキュリティの動作はそのような強力な防御システムが動いていることを感じさせないほど軽快です。

理由は2つあります。

1つ目の理由はノートンは複数に重なる防御システムを採用している点にあります。

SONARまでマルウェアがたどり着くことは、希です。PEPでゼロデイ脆弱性であっても侵入経路を絶たれた上に、SONARより前の保護層であるファイアウォール、IPS、アンチウイルス、インサイトで多くのマルウェアが検出されます。だから、SONARで監視すべきプロセスが少なくなり、結果としてシステムへの負荷が軽くなります。

2つ目の理由はレピュテーションシステムであるインサイトとSONARの相互関係にあります。

インサイトはそのホワイトリストによって監視しなくても良い安全なファイルと、監視が必要な疑わしいファイルを分別し、SONARに監視するべき対象のファイルを伝えます。その結果SONARが監視するプロセス数が少なくなり、パソコンへの負担が減るのです。

だから、強力な監視システムを搭載していてもパソコンのパフォーマンスへの影響が少ないのです。

一般的に、どんなに警官や警備員を多く配備しても、それ以上に「疑わしい人」が多ければ監視の目は届きませんが、ノートンは「疑わしい人」を徹底的に限定し、怪しいと睨まれた人の隣に常に大人数の警官が張り付いていることと同じ状態を作り出すことができます。

このホワイトリストを使ったインサイトとの連携は他のセキュリティソフトに真似ができない技術と言えるでしょう。

 2-2. 各保護層の情報をインサイトで記録・学習して強さを実現

インサイトは単なるレピュテーションシステムではありません。常に各保護層からフィードバックを受け、それを元に自動的に学習を行い日々精度と効率が向上しています。

たとえば、第4層のインサイトまでを通過したマルウェアが、第5層のSONARでマルウェアが検出された場合、以下の図のように情報が伝達されます。

insight_SONAR

SONARで検出されたマルウェア情報はインサイトに伝達され、データベースに登録されたマルウェア情報は世界中のノートンユーザーのパソコンにLiveUpdateで送られます。

このLiveUpdate以降、他のノートンユーザーのパソコンではマルウェアがSONARにたどり着く事は無く、前の保護層であるインサイトで検知されることになります。アンチウイルスの定義が完成すればそこで検知されることになります。

万が一SONARがマルウェアを検知しなかったことがあったとします。

近年、多くのマルウェアは犯罪者がコントロールする指令サーバーと通信を行うケースが多いのですが、マルウェアがその通信を行おうとした段階でIPSがその通信を検知・遮断し、通信を行ったプログラムをマルウェアと断定し検出します。

このような形で外に出て行く通信をIPSが検出しても同様に、その情報はノートンのデータベースに送られ登録されます。

そして、再びインサイトに登録され、世界中のノートンに反映されます。

このような自動学習プロセスをノートンは行っており、時間の経過と共にノートンの防御システムは強くなっていきます。

だから、下図のように未知のマルウェアの検出割合が通信の層(ファイアウォールとIPS)で約80%、ファイルの層(アンチウイルスとレピュテーション)で約15%、SONARで約5%とだんだん小さくなっていきます。

ノートンは2.4億ユーザーという大きな規模のユーザーがいるので未知のマルウェアが現れたときに、いち早くマルウェアに対応できるのです。

だからノートンは皆さんを強力に守ることができるのです。

他社では別の仕組み使って未知のマルウェアからユーザーを守る機能を備えている場合があります。

しかし、日々進化し続ける未知のマルウェアに対応できる防御システムは日々進化し続ける防御システムである必要があるでしょう。

3. 不正送金被害の増加と未知のマルウェア対策の重要性

近年はインターネットバンキングの不正送金による被害が年々増加しています。

警視庁が発表した2015年の不正送金の被害額は2013年の2倍以上の30億7300万円と悪化の一途をたどっています。

この不正送金の多くがマルウェアによって引き起こされています。そして、マルウェアの主な感染経路はWebサイトからの感染です。

具体的には、(脆弱性のあるパソコンで)Webサイトにアクセスしただけで感染するドライブ・バイ・ダウンロードと呼ばれる攻撃手法があり、下のプロセスで犯罪者はマルウェアをパソコンに侵入させます。

  1. 犯罪者が用意した攻撃用または、一般のWebサイトに悪質なコードを埋め込みます
  2. 被害者となるユーザーが脆弱性を持ったパソコンでそのWebサイトにアクセスします
  3. アクセスしたユーザーのブラウザを誤作動させるコマンドがWebサイトから送られます
  4. ユーザーのブラウザは悪質なサーバーからマルウェアをダウンロードさせられます

犯罪者が攻撃用に使うWebサイトは一般的なWebサイト、時には有名なサイトを改ざんしてそのサイトにアクセスした訪問者を攻撃するケースが多くなっています。

  • 攻撃者が作成した攻撃用サイトによる攻撃:33%
  • 攻撃者が改ざんした一般Webサイトによる攻撃:67%

(シマンテック調べ)

一般的なWebサイトを改ざんして、攻撃用Webサイトにしてしまうのは、一般サイトのほうがアクセスする人数が多いことと、いかにも怪しいサイトと比べアクセスする人がサイトそのものに警戒心を持たないので、より効率的にマルウェアを感染させることができるからだと思われます。

よって、以前よく言われていた「怪しいサイトにアクセスしなければ安心」というルールは今では通用しなくなってきていると言えます。

不正送金をはじめとしたサイバー犯罪では一般的なアンチウイルス技術では検知できない(ブラックリストにない)未知のマルウェアが日々たくさん作られています。

blacklist2

実際に、不正送金被害に遭わないようにするためには既知のマルウェアのみからデバイスを守ることだけでは十分ではないのです。
その理由として毎日120万種類も新たに生れるマルウェアに対してブラックリストを常に最新にすることは非現実的ということが挙げられます。

2015年の時点で上述の通り1日約120万のマルウェアが新たに生まれており、現在もなおこの数は増えています。(出典:シマンテック インターネットセキュリティ脅威レポート 2015年版)

実際、毎日120万種類のマルウェアのブラックリストに追加できるでしょうか?

これが2014年に「アンチウイルスは死んだ」と弊社の幹部が口にした大きな理由でもありますが、かつてのパターンマッチングの「アンチウイルス」技術だけで新しいマルウェアに対抗できる時代でないことは確かです。

そこでセキュリティソフトメーカー各社はアンチウイルスだけでなく、それに加えて異なるマルウェア検出技術をセキュリティソフトに組み込んでいます。

犯罪者にとってインターネットバンキングユーザーから金銭を盗み取ることが非常に「実入りの良いビジネス」であることが被害額の増加から伺えます。犯罪者はこれからも新たな脆弱性を悪用し、かつセキュリティソフトに検知されないようなマルウェアを作成することに対してさらに力を入れると思われます。

そのため、今後さらに「未知のマルウェア」を検出するための技術とともに「脆弱性を悪用させない」ためのアプローチが重要になってきます。

ノートンは第1章で説明した通り、セキュリティ技術を多層的にノートン セキュリティの中に取り込み、第2章で説明した通りそれを連携・自動学習をさせて日々システムを強化しています。

それによって未知のマルウェアに対するさらなる検出力の向上と、IPS/PEPによる脆弱性対策を同時に行っています。

4. 軽快なパフォーマンスと妥協のないセキュリティの両立

セキュリティソフトにとって一番大切な事は何でしょうか?

私たちは、まず「お客様のパソコンを守る」ことだと考えています。そこに妥協があってはならないと考えています。

ただ、当然セキュリティソフトの重要なことの一つとして「使っている人の邪魔をしない」簡単に言えば「軽さ」が求められていることも長い年月をかけて学んでいます。

多くの人が知るように「ノートンは重い」と言われ続けてきました。

これに対し、以下の通り数年間の時をかけて「パソコンを守る」ことに妥協せず「軽さ」を追求してきました。

(1). ノートン 2006 (2005年)

増加し続ける未知のマルウェアに対するため、ノートン2006ではリアルタイム挙動分析(現SONARの前身)が全てのプロセスを監視していました。これがパソコンのパフォーマンスに大きな影響を与えていました。

これが「ノートンは重い」と言われるようになった要因でもありますが、他のセキュリティソフトが安全性を犠牲にして軽さを選んだ中で、安全を提供することに一切の妥協を許さなかったセキュリティソフト業界のリーダーとして今も変わらない姿勢でもあります。

(2). ノートン 2007 (2006年) – ファイアウォールの強化とパフォーマンスの向上

しかし、ノートン2006のパフォーマンスは良好と言えなかったため、ノートン2007からその改善を本格的に開始します。

まずは、ファイアウォールの強化と使用メモリの減少やスキャンの高速化などのパフォーマンス改善を実施しました。

(3). ノートン 2008 (2007年) – SONARの実装とさらなるパフォーマンスの向上

翌年のノートン2008でSONARのリリースと実装を行い、安全性は一切妥協することなく、ノートン2007よりもさらに厳しい基準でさらなるパフォーマンスの改善を繰り返しました。

(4). ノートン 2009 (2008年) – インサイトの実装と自動学習の開始

そして、ノートン2009でホワイトリスト技術であるインサイトを実装し、各セキュリティ保護層とインサイトの自動学習によってマルウェアから防御するようになる姿に進化しました。

(5). ノートン 2017 (2016年) – ゼロデイ脆弱性保護(PEP)機能の実装

ノートン2009から各機能の強化と性能の改善を繰り返してきましたが、2016年に新たなアプローチによる「ゼロデイ脆弱性保護(PEP)」を実装しました。防御層をもう一段階増やすことにより、特に脆弱性を悪用する脅威に対し防御力がさらに強化されました。

それ以降も常に改善と強化を繰り返し、今に至ります。

安全性と速さの実現に対して一切の妥協を許さなかった結果、今の強さと軽さの両方を実現するノートン セキュリティが存在するのです。

5. 最後に

ノートンはセキュリティソフト業界のリーダーとして、セキュリティに妥協することなく進化し続け、お客様のパソコンを守り、安心を提供してきました。

パソコンからスマートフォンやスマートデバイスへ、ネットワークの使用範囲が広くなればなるほど、情報にアクセスできる場所や時間は増え、暮らしは便利になっていきます。

それは同時に犯罪者が被害者となる獲物を探す機会が増えることと同じ意味を持ちますが、そのような状況であってもお客様がインターネットの脅威に煩わされることなく、最新のネットの利点を存分に享受できるようにすることこそがノートンが進化し続ける理由であると考えています。

実際に、未知の脅威と戦うためにアンチウイルスだけではなく、脆弱性対策、リアルタイム挙動分析やホワイトリストといった数々の技術をいち早く導入し、最新の脅威に立ち向かってきました。

ノートンはこれからも、セキュリティソフトにとって一番大切な、高いセキュリティレベルを確保することに妥協せず、かつそれを維持しつつデバイスの快適な動作を両立させ、お客様に安心を与え続けることができるセキュリティソフトでありたいと思っています。