セキュリティテクノロジーおよびレスポンス

シマンテック セキュリティテクノロジーおよびレスポンス(STAR)部門は、セキュリティレスポンス部門を含むセキュリティエンジニア、ウイルスハンター、脅威アナリスト、研究者からなる世界規模のチームであり、シマンテックの企業向けおよび個人ユーザー向けの全セキュリティ製品に対して、その基盤となるセキュリティ技術、コンテンツ、サポートを提供しています。 STAR は、インターネットセキュリティ脅威の状況を調査して正確に把握するシマンテックの情報基盤です。

 

概要

STAR の専門家は、絶えず進化するインターネットセキュリティ脅威の状況に集中して取り組み、シマンテックが提供する革新的なセキュリティ技術の多くを生み出しています。 この部門では、現在の脅威だけでなく将来の脅威についても考慮し、インテリジェンスを用いてセキュリティに対するまったく新しいアプローチを開発しています。 これらの技術は、ネットワークインフラ、サーバー、デスクトップ、モバイルデバイスなどのすべてのプラットフォーム用に開発されています。 STAR は、大規模メインフレームから省電力のモバイルデバイスに使用される組み込み用 CPU まで、幅広いハードウェアを保護します。

インターネットセキュリティ脅威の状況の調査

STAR は、Stephen Trilling が率いる Office of the CTO に属しています。 STAR のセキュリティレスポンスセンターは世界各地に設置され、インターネット上で 1 億 3,000 万を超えるシマンテックおよびノートンシステムから得られる悪質なコードのレポートを監視しています。また、200 カ国以上に設置された 40,000 台のネットワークセンサーからデータを取得し、8,000 社を超えるベンダーが持つ 55,000 種類以上の技術に影響を及ぼす脆弱性を 25,000 種類以上にわたり追跡しています。 セキュリティレスポンスチームは、そのように広範なインテリジェンスを駆使して、世界でも高度に包括的なセキュリティ保護機能の開発と提供を行っています。STAR の責務は大きく分けて次の 3 つです。

テクノロジーの研究と開発

STAR は、シマンテックの企業向けおよび個人ユーザー向けセキュリティ製品の保護機能の中核となる、あらゆるセキュリティ技術の研究開発を統括しています。 これにはシマンテック独自のセキュリティ製品の中核となる主要ウイルス対策エンジンや、スパイウェア対策、侵入防止、ふるまい検知などの最新技術が含まれます。 ここ数年、STAR は、まったく新しい世代の技術にも積極的に投資し、新たな脅威と将来の脅威の両方を防御してきました。たとえば、STAR は、業界初のレピュテーションベースのセキュリティ技術を開発して、現在の小規模に配布されるマルウェアの問題に対処してきました。

セキュリティレスポンス

STAR のセキュリティレスポンスチームは、新しいセキュリティコンテンツ(マルウェアフィンガープリント、レピュテーションデータ、ふるまいベースのルール、新しいヒューリスティックなど)を 開発し、シマンテックの数千万のお客様に対して 24 時間体制で導入しています。 グローバルな脅威アナリストチームは 24 時間モデルで対応しており、脅威動向に関する最新の開発に後れをとることなく、24 時間 365 日体制でお客様にサポートを提供しています。 アナリストは、シマンテックが保護しているマシンの世界的ネットワークと合わせて、攻撃者を誘い込むおとりマシンであるハニーポットの大規模なグローバルネットワークも継続的に監視しています。 こうしたあらゆるデータとインテリジェンスを活用して、セキュリティレスポンスチームは、シマンテックの主要セキュリティテクノロジー向けのウイルス定義とシグネチャコンテンツを作成します(スパイウェア、アドウェア、ウイルス、スパムなど)。 このコンテンツは STAR のクラウドベースのインフラで維持され、必要に応じて、特許取得済みの LiveUpdate™ 技術を通じてお客様のコンピュータにプッシュ送信されます。

インフラ

現在の脅威動向における大量の活動に対応するために、STAR は、高度なバックオフィスインフラを開発して、ほとんどの収集、分析、導入活動を自動化しました。 これにより、シマンテックは、新たな脅威を検出し、世界中のお客様に新しい保護を極めて迅速に提供できるようになりました。

続きを表示
閉じる

 

テクノロジー

STAR のマルウェア対策セキュリティテクノロジーは、大きく次の 4 つのカテゴリに分けられます。ファイルベースの保護、ネットワークベースの保護、ふるまいベースの保護、レピュテーションベースの保護です。

多層防御

STAR のマルウェア防止テクノロジーは、大きく次の 4 つのカテゴリに分けられます。

ファイルベースの保護

シグネチャとヒューリスティックによるスキャンエンジンは、シマンテックのセキュリティ製品を支えるもので、既知の脅威と未知の脅威の両方についてファイルをスキャンするために、さまざまな技術が使用されています。 これらのエンジンは、現在、750 万以上のシグネチャをファイルあたり平均 25 ミリ秒でスキャンしています。 全体では、年間数十億件の脅威を検出しています。

これらはシマンテックの保護技術の中でも最も成熟したものですが、STAR は、最新の脅威動向に後れをとらず対応できるように、主要スキャン技術への投資と技術開発を続けています。 ファイルベースの保護には、ファイルを迅速かつ効率的にスキャンできる、シマンテック独自のスキャンエンジン AntiVirus Engine、脅威がコンピュータのハードドライブに保存された瞬間に検出するシマンテックのリアルタイムファイルスキャン機能 Auto Protect、静的ファイル内で不審な命令を検索して、新規/未知のマルウェアを実行される前に検出するシマンテックのヒューリスティックベースの保護技術 Malheur と Bloodhound があります。

ネットワークベースの保護

STAR のネットワークベースの保護には、攻撃をネットワークケーブルまたは無線ネットワークからコンピュータに移動するときにブロックしてシステムにマルウェアを導入できないようにするための一連の技術が含まれています。 ファイルベースの保護ではファイルがユーザーのコンピュータで物理的に作成されるまで待たないとスキャンできませんが、ネットワークベースの保護は、コンピュータのオペレーティングシステムによって処理されて被害をもたらす前に、すべての受信データストリームを分析できます。 このカテゴリには 3 種類の保護技術があります。ネットワーク侵入防止ソリューション(ネットワーク IPS)は、200 種類以上のネットワークプロトコルを理解し、攻撃の可能性がないかどうかスキャンするプロトコル対応の IPS です。ブラウザ保護は、ユーザーの Web ブラウザ内で、従来のウイルス対策やネットワーク IPS では認識できない最も複雑な Web ベースの脅威を検出できるエンジンです。不正ダウンロード保護は、最後の砦となるもので、シグネチャを使うことなくパッチ未適用の未知の脆弱性から生じる影響を軽減しつつ、ゼロデイ攻撃に対する保護を提供する追加の層となります。

ふるまいベースの保護

コンピュータ上で活発に活動している脅威がないか監視し、不正な動作を見せたプログラムがあれば直ちに終了させるふるまいベースの保護技術。この技術で、未知の脅威やまったく新しい攻撃からプロアクティブに保護できます。 SONAR と呼ばれるメインエンジンには、人工知能ベースの分類エンジン、人間が作成したふるまいベースのシグネチャ、ふるまいベースのポリシーロックダウンエンジンが搭載されています。 これらのエンジンは、実行中のプログラムで正規のソフトウェアの特徴ではない不審な動作シーケンスがないか探します。こうした不審なシーケンスが見つかると、SONAR は、ウイルスフィンガープリントを使うことなく、問題のプログラムを終了および削除できます。 高度なふるまいベースのエンジンによって、まったく新しいゼロデイ攻撃を防止します。

SONAR システムは、人工知能技術を使用して安全なアプリケーションと悪質なアプリケーションの違いを学習します。 シマンテックのエンジニアは、SONAR の訓練のために、安全なアプリケーションと悪質なアプリケーションの両方について約 2 億種類のふるまいプロファイルをシステムに供給しました。 SONAR は、正規のふるまいと悪質なふるまいを区別する方法を自身で学習して、過去の経験を基に新しい脅威を特定できるようになります。 約 400 種類のふるまいを監視して分類することで、悪質なアクションを迅速に特定し、悪質なアプリケーションを削除して被害を防止します。

SONAR は研究者が作成したふるまいベースのシグネチャもサポートし、人工知能ベースの分類エンジンを補完しています。 これらのシグネチャにより、STAR の研究者は、適切に定義された一連のふるまいを示すまったく新しい脅威を特定できます。多くのマルウェアファミリには数千の変異した亜種があり、各亜種がディスク上ではまったく異なるように見えますが、どの亜種も基本的なふるまい特性は同じなので、こうしたシグネチャが役に立ちます。

適切に作成されたふるまいベースのシグネチャが 1 つあれば、マルウェアファミリー全体をすぐに阻止できます。 さらに、現在の最も高度な脅威の中には、自身を正規のアプリケーションまたはオペレーティングシステムファイルに自身を埋め込み、そこから悪質なアクションを実行するものがあります。 このような場合、基盤となるオペレーティングシステムやアプリケーションに損害を与えずにこれらの脅威を削除することが難しくなることがあります。 こうした脅威に対応するために、SONAR には、感染した正規のアプリケーションの周囲に仮想サンドボックスを設ける機能があります。 こうすることにより、SONAR は、感染したアプリケーションによってコンピュータに損害を与えるような悪質なアクションが実行されるのを防ぐことができます。

レピュテーションベースの保護(Insight)

このテクノロジーの最初のバージョンは、2009 年 9 月にノートン製品に初めて導入されました。 このレピュテーションベースの技術では、1 億を超えるお客様の「集合」知に基づいて、悪質なファイルおよび Web サイトへのアクセスをブロックします。

レピュテーションベースのセキュリティシステム Insight は、脅威の動向の中でも最新の、小規模に配布されるマルウェアに対処します。 これまで、数百万のコンピュータに配布される脅威の種類は比較的少なく、フィンガープリンティングは比較的容易でした。 現在、攻撃者は変異した亜種を数百万種類も作成しており、それぞれの亜種を非常に少数のコンピュータに送信しています。 シマンテックのデータによると、現在の脅威のほとんどが確認されたコンピュータの数は世界中でも 20 台未満です。 攻撃者は日に 600,000 以上の新しい亜種を作成しており、セキュリティベンダーが問題に対処するために必要な従来のシグネチャを大量に作成、テスト、配信することは不可能です。 さらに、配布が小規模であることを考えると、これらの脅威の多くは、一度も検出されておらず、フィンガープリンティングのためにセキュリティベンダーに送信されてもいません。 サンプルを受け取ったことがなければ、セキュリティベンダーはフィンガープリンティングを行えません。 その結果、数百万件の感染が従来のフィンガープリントを完全にバイパスしています。

シマンテックの Insight は、シマンテックの大規模なユーザーベースから得られる匿名の使用パターンを活用して、インターネット上の安心なものも悪質なものも含めて実質上すべてのアプリケーションのセキュリティ評価を正確に導き出します。 シマンテックの大規模なユーザーベース全体で各ファイルの配布パターン(配布パターンの欠如)を分析して、セキュリティ評価が導き出されます。

これらの評価の算出のために、シマンテックのユーザーは、使用するアプリケーションについてリアルタイムの遠隔測定データを匿名で提供しています。 STAR はこのデータを Symantec Global Intelligence Network、セキュリティレスポンスチーム、および新しく公開したアプリケーションに関するデータをシマンテックに提供する正規のソフトウェアベンダーからの遠隔測定データで補完します。このデータがファイルと匿名化されたコンピュータの大規模な関係モデルに、大規模な匿名のソーシャルネットワークのように組み込まれ、セキュリティ評価が導き出されます。 現在 Insight システムでは、安全なものも悪質なものも含めて 1 億 7,500 万を超える参加ユーザーからの 25 億を超えるファイルを追跡しています。1 週間に 2,200 万超のペースで、新たなファイルが追加されています。

続きを表示
閉じる

 

シマンテックのインテリジェンス

お客様の保護において重要なのは、お客様が適切なタイミングで新しい脅威と既存の脅威に関する情報にアクセスできるようにすることです。 シマンテックのセキュリティセンサーと研究者が脅威の状況を絶え間なく監視、分析することで、膨大な量の知識を取得しています。 この知識は、革新的なセキュリティ技術の開発のみならず、脅威の傾向やセキュリティのベストプラクティスについてコンピュータユーザーに知らせる上でも非常に高い価値を提供します。

シマンテックセキュリティインテリジェンスの周知

お客様の保護において重要なのは、お客様が適切なタイミングで新しい脅威と既存の脅威に関する情報にアクセスできるようにすることです。 シマンテックのセキュリティセンサーと研究者が脅威の状況を絶え間なく監視、分析することで、膨大な量の知識を取得しています。 この知識は、革新的なセキュリティ技術の開発のみならず、脅威の傾向やセキュリティのベストプラクティスについてコンピュータユーザーに知らせる上でも非常に高い価値を提供します。

STAR は、次のようなさまざまなコミュニケーションプログラムに参加してセキュリティに関する知識を共有します。

続きを表示
閉じる