【RSA Conference US 2015】型破りの「ホワイトリスト型セキュリティ」でエンドポイントを守るハミングヘッズ

セキュリティビジネスの最先端の情報が集結するイベント「RSA Conference 2015」。ブースエリアには、北米や欧州だけでなく、イスラエルや中国などのアジア圏も含めた世界中の国々の企業が出展している。しかし日本の企業名を目にする機会があまりないのは、少々寂しいところだ。

そんな中、ソフトウェア一本を明快にプロモーションする日本のハミングヘッズのブースでは、足を止める来場者が途切れることがなく、棚いっぱいに積まれた販促グッズも最終日にはすっかりなくなっていた。ようやく客足も落ち着いてきた最終日の夕刻、ブースで来場者対応をしていたハミングヘッズ北米担当代表の加藤幹也氏に話を聞いた。

──RSA Conference USAに出展したのは今回が初めてだと伺っていますが、その感想はいかがですか。

来場者の皆さんからも、驚くほど嬉しい反応を得られました。やはりRSAに来る方は、もともとセキュリティ製品を真剣に探しておられリテラシーも高い方ばかりだからでしょうか、製品の説明をするのも非常に簡単でした。私たちの技術の何が優れているのかを、あっさり理解していただけたことにも驚きました。

──御社のソフトウェア「DefensePlatform SHINOBI（忍）」を知っていて、デモを見に来たという方と、まったく知らずにたまたまブースへ立ち寄った方、どちらが多いと感じましたか。

この製品を事前にご存じだった方は、ほとんどいませんでした。販促グッズのTシャツの山を見た方から、「ここはTシャツ屋さんですか」と冗談で尋ねられたぐらいです。しかし、そのような形で立ち寄られた方であっても、「私たちはホワイトリスト型のエンドポイントのセキュリティを提供している企業です」と説明するだけで興味を示してくれました。そして、なぜそれが理に適っているのかをお話しすると、ほとんどの方が納得してくださいました。

――「DefensePlatform SHINOBI（忍）」の特徴を教えてください。

この製品は、日本では「ディフェンスプラットフォーム」の名で販売しているソフトウェアと同一の製品です。ホワイトリスト型のセキュリティ、つまり許可した動作が実行できるという基本的な考え方をベースに、WindowsAPIを監視して不正な動作からPC全体を保護する方法を実現しています。普段、私たちが利用しているプログラムでも、マルウェアでも、何かしらの行動を起こす際にはAPIを呼び出します。「忍」は、悪質なプログラムがAPIを利用する際に割り込んで、不正な動作を事前に阻止します。

──従来のアンチウイルス製品と比較したときの、主な利点をご説明いただけますか。

従来のブラックリスト型の保護は、「悪いもの」をリスト化することによって、悪質な試みを防ぐというアプローチです。しかし、現在マルウェアの数は5億6千万種と言われています。それは、この瞬間にも増え続けており、それらに対応できるよう情報を更新していくのは、すでに現実的ではないでしょう。

──個々のマルウェアを特定して検出する手法では間に合わない、ということでしょうか。

そうです。しかしホワイトリスト型の場合はユーザが利用するPC内に存在するプログラムについて「許可する動作」をリスト化していますから、1日に生まれる新しいマルウェアが何十であっても、何万であっても同じです。どのような未知のマルウェアでも、それが試みる不正な動作は「許可されていない動作」として認識されるからです。

──なぜ他社は手をつけないジャンルなのでしょうか。

まず、皆さんご存じのように、ホワイトリスティングのアイディア自体は、それほど新しいものではありません。限定したサービス、限定した相手のみを許可するフィルタリングは、これまでにも様々なジャンルで利用されてきました。しかしPC全体でそれを行うことは、リストが膨大になるという理由で敬遠されてきました。しかしハミングヘッズは10年以上に渡るAPI監視技術の動作実績から「許可する動作」と「不正と判断されうる動作」をインテリジェントに判断するエンジンを開発したことで、これを可能にしました。

このAPI監視技術の構築は本当に大変で、WindowsAPIの項目数は約30万件と言われています。ひと昔前であればこうした洗い出しやその監視を成立させることは、労力に見合わないと感じられたかもしれません。しかし秒単位で増えている「5億6千万種のマルウェア」と比較するなら、「たったの30万項目」だとも言えます。

――いまやホワイトリストのほうが現実的になってしまったというわけですね。

ええ、そのうえデータも軽くなりますから。将来的に、PCのエンドポイントのセキュリティは、「ブラックリスト型」から「ホワイトリスト型」へとシフトしていくはずだと私は考えています。実際のところ、今回のRSAの会場でも、ホワイトリスト型セキュリティを掲げている他社さんのブースを、ごく少数ですが見かけました。ただし「精度」を考えると、私たちの製品のほうが優れているなと感じました。

――「ホワイトリスティングの精度」について教えて下さい。

行われる動作のイベントひとつひとつについて分析判断できるという意味です。たとえばファイルを開くときのことを考えてください。メニューバーからファイルを選んで開く、あるいは先にファイルを指定して右クリックで開くなど、いくつかの方法がありますね。私たちの技術では、それらの動作を判別して許可不許可を設定することすら可能です。「ファイルを開く」を実行した結果ではなく、そこに至る動作に注目しているのです。

ただ、これら詳細な許可をユーザーが自分で一から設定する必要はありません。Windows自体を含めてビジネスで広く使われているソフトウェアについては、弊社が事前にホワイトリストに登録済みです。ユーザーが製品をインストールしたあと許可設定を求められるのは、少なくて済むようになっています。

――なるほど。そんな「DefensePlatform SHINOBI（忍）」の魅力を伝えることができたRSA Conference、参加した感想を教えてください。

本当に大成功でした。実は、来年のRSAにはブースのサイズを3倍にして参加したい、いますぐにでも申し込んでしまいたい、と話していたところでした。

――いきなり3倍とは、すごいですね。

ええ、冗談かなと思われている節もあるんですけれど。私は本当にそうしたいと思っています。

――ありがとうございました。