ホワイトリスト方式のMcAfee Application Control (McAfee Embedded Control)
2010年7月、Windows 2000へのベンダからのサポートが終了しました。こうした「レガシーOS」をはじめ、オフラインのスタンドアロンシステム、組み込み機器などを使用している企業では、今、従来のセキュリティ製品では対応できない課題が発生しています。
なお、レガシーOSシステムにてローカル接続によるデータ投入・利用がなく、サーバ・ファームに対するネットワークベースでの仮想パッチ、レガシーOS対策を検討されたい場合は、ネットワーク上の保護対策を参照ください。
※McAfee Embedded Control(旧名称:McAfee Embedded Security)
従来型のブラックリスティング(パターンマッチング型)のアンチウィルス対策製品では、
次のような利用環境には向かないため、導入・利用が進んでいませんでした。
マカフィー脅威レポートによれば、2010年の1-6月期の半年間ですでに1000万種の新しいマルウェアが確認されているとおり、かつてないほど、マルウェアの数が急増しています。
とくに、2010年4月、5月は、自動再生機能を悪用する攻撃(USB やポータブル ストレージ デバイスを介して拡散するマルウェア)が頻繁に発生しており、右図は、その代表的なAutoRunのサンプル数になります。
これらの傾向から、アンチウイルス製品のパターンファイルが更新されないレガシーシステムだけではなく、スタンドアローンで利用されているサーバー、端末においても、USB経由でのマルウェア感染の脅威が増えています。
マルウェアの感染は、想定されるリスクや被害として下記のような影響をもたらします。
- ホワイトリスティング技術により実行するアプリケーション、モジュールを制限することで不正プログラム、マルウェアの実行を防止。パターンファイルの更新が適用されないレガシーシステムでも、ホワイトリスティング方式のマルウェア対策でシステムを防御できます。
- ウィルス対策用ネットワーク・アプライアンスでは防げない、ローカルでのUSB接続でのマルウェア感染も防止。USBの利用を前提とするスタンドアロンシステムや組み込みシステムに対して有効なマルウェア対策です。
- 動作させても良いアプリケーションだけをリストに登録し、そのリストを元に、アプリケーションの起動を制御する方式です。ブラックリスト方式では時間とともに定義ファイルが増えていくのに対し、ホワイトリスト方式ならリストを増やしたり、定義ファイルを更新することなく運用できます。
特にMcAfee Application Control (McAfee Embedded Control)は、単純なホワイトリスティングとは違い、動的な信頼モデルを使用。タイムリーな制御機能を提供し、企業のシステム運用のニーズに対応します。
| 防御・阻止 | Dynamic Whitelisting | 認証されていない全てのコード(Binary, Java, Script)の実行を阻止する インベントリ(ホワイトリスト)を自動的に更新する |
|---|---|---|
| Memory Protection | メモリーへの攻撃を防御する | |
| Data Protection | 重要度の高いファイルの読み出しやコピーを、認証されたアプリケーションにのみ許可する | |
| Change Prevention | ポリシーに適合しない変更を阻止するとともに、当該変更を記録する | |
| 追跡・報告 | Image Comparison | 展開したシステムイメージと、基準とするゴールドイメージとを比較チェックする |
