従来のアプローチは、もう通用しません。

現在、既知のマルウェアの総数は2億件に達し、毎日20万件ものペースで増え続けていると言われています。多くのエンドユーザーが慣れ親しんできたアンチウィルスソフト製品はパターンマッチングの手法に頼っているため、未知の脅威に対処することはますます難しくなっています。こうした状況を受けて、先日ある業界幹部は「アンチウィルスは死んだ」と発言しました。

パターンマッチングに変わる手法としては、振る舞い検知、レピュテーションシステム、ネットワーク・トラフィック分析、サンドボックス、マイクロVMなどがありますが、標的型攻撃やゼロデイ攻撃に対して完全かつリアルタイムな保護を提供できるものは、残念ながらありません。

なぜなら、これらの攻撃は巧妙に隠蔽され、対策ソフトを回避するように作られているだけでなく、OSやCPUの仕様を知り尽くした上で、コンピュータの実行環境そのものを操作したり、破壊したりするように作られているからなのです。

従来の対策ソフトがOS上で動くプログラムとして作られている以上、OSやCPUそのものに対する攻撃を防ぐことができないのは明らかです。ますます高度化するサイバー攻撃に対して、従来のアプローチはもう通用しないのです。

PAGE TOP

原点に立ち戻りました。

では、OSやCPUも含めて、コンピュータを全て守るにはどうすればよいのでしょう? 私たちは、原点に立ち戻ってコンピュータの基本原理から考え直しました。

そもそも、ユーザーが実行する正規のプログラムも、第三者が攻撃目的で実行させる不正なプログラム(いわゆるマルウェア)も、コンピュータから見れば同じプログラムです。コンピュータは、プログラムの要求に従って、仕様通りに処理を実行しているに過ぎません。

つまり、「正しいプログラム」と「不正なプログラム」を判別できると考えること自体が誤りなのです。私たちは、現在のサイバーセキュリティ対策で基本となっている「不正なプログラムを検知する」という考え方を捨てました。

それでは、どのようにしてサイバー攻撃を防げばいいのでしょうか? 私たちは、プログラムではなく、そのプログラムが実行しようとする処理そのものに着目しました。第三者がコンピュータを不正に操作する目的でプログラムを実行しようとするとき、正規のプログラムでは絶対に必要のない処理が行われます。たとえば、不正な管理者権限の取得や、外部サーバとの通信、さらにはCPUやOSの環境設定値の変更など。こうした不正な処理を外部から監視し、止めることができれば、コンピュータを保護できます。

プログラムではなく、処理そのものを対象として、コンピュータを外部から監視・保護する機構を提供する。これは、全く新しいアプローチであり、サイバーセキュリティ対策にパラダイムシフトをもたらすほどのインパクトがあると、私たちは考えています。

PAGE TOP

不可能を可能にした技術。

OSの機構をOSの外部から保護し、全ての動きを監視・保護する。発想自体はシンプルですが、実際にはCPUやOSの仕様を非常に深いレベルで理解し、実装する技術が必要となります。実は、これまで多くの技術者・研究者が挑戦してきたと言われていますが、世界で初めて、F.TRONが開発に成功しました。

全く新しいセキュリティ保護機構、「INT-R」の特徴を、大きく三つご紹介します。まず、INT-Rはコンピュータの起動直後、OSよりも先に動作を開始します。そして、OSからは見えないメモリ領域を確保して、自らの動作環境を構築します。その上で、残りのメモリ領域をOSに割り当てて、起動シークエンスを実行していきます。不正プログラムはOS上で動きますので、INT-Rが攻撃されることは絶対にありません。INT-RはOSの起動からシャットダウンまで監視を続け、コンピュータを確実に保護します。このようにして、INT-RはOSの外部から保護機構を提供するのです。

次に、INT-Rは、コンピュータ上の全ての処理を、CPUに対する命令単位で把握し、制御します。この処理は、IntelのVT-x環境を使って行われ、ハードウェアのエミュレーション等もありませんので、非常に高速に行われます。監視対象はOS・アプリケーションによる処理、CPUによる処理、そしてOSやCPUの環境設定値に対する書き込みや読み込みなどです。

最後に、INT-Rは、CPUの処理命令について、インテリジェンスを提供します。実行されているカーネルの処理、プロセス、デバイスのI/O、通信などをモニタリングしながら、ユーザーによる正規の処理なのか、第三者による不正な処理なのかを判別し、不正なものだけを確実に止めることができるのです。

INT-Rの保護ポリシーは、攻撃者の視点から見たコンピュータの不正な侵入経路を、全てブロックしています。これにより、たとえ未知の不正なプログラムであっても、確実に止めることができるのです。

PAGE TOP