“Beyond the OS”をめざして~マカフィーとインテルが初の共同セキュリティソリューションを発表
マカフィー株式会社は19日、インテルとの共同ソリューションである「McAfee Deep Defender」および「McAfee ePO Deep Command」の2製品を発表した。2011年にIntelがMcAfeeを完全子会社化してから、両社による初めての共同開発プロダクトとなる。
マカフィー プロフェッショナルサービス 担当部長 兜森清忠氏は「ここ1、2年、標的型攻撃が世界を席巻しており、日本でも防衛関連企業や国会議員を狙った攻撃が多数確認されている。標的型攻撃は目標が明確で準備が周到になされており、通常の入り口/出口対策だけでは不十分なことも。リスク低減のためには必要に応じて機能面の実装が必要となる」と語り、今回の共同開発製品がそれを支援するとしている。
マカフィー プロフェッショナルサービス 担当部長 兜森清忠氏 | インテルからもグローバル・セールス&プラットフォーム・マーケティング事業本部 坂本尊志氏が登壇「インテルプロセッサは毎年進化する。今後はさらにマカフィーとの連携を深め、セキュリティに注力した製品を出していきたい」 |
■OSに侵入される前のルートキット対策-McAfee Deep Defender
McAfee Deep Defenderは、CPUとOSの間で動作するハードウェア支援型セキュリティ技術「McAfee DeepSAFE」を使用したエンドポイント製品で、ルートキットを確実に可視化できる点が最大の特徴。OSの深いレベルに侵入したルートキットは検出が非常に困難となるが、仮にルートキットがPCに侵入を果たしても、よりハードウェアに近い部分でルートキットを検知/駆除すれば、OSやアプリケーションへの侵入を防ぎ、被害を最小限に食い止めることが可能になる。Deep DefenderはIntel vProの機能を利用し、ビヘイビア(振る舞い)検知でリアルタイムにカーネルメモリを保護する。
「定義ファイルではなくマルウェアの挙動(ビヘイビア)で検知するので、未知のルートキットであっても可視化が可能。OSに侵入される前にルートキットを検出/駆除できる。これまで難しかったエンドポイントのゼロディ保護を実現した」(マカフィー マーケティング本部 プロダクトマーケティング部 スペシャリスト 松久育紀氏)。
Deep Defenderが動作するハードウェアはIntel Core i3/i5/i7を搭載したマシン、対応OSはWindows 7(32ビット/64ビット)。BIOS上でIntel VT機能が有効になっている必要がある。ハードウェアの機能に大きく依存するため、仮想環境での利用はできない。
マカフィー マーケティング本部 プロダクトマーケティング部 スペシャリスト 松久育紀氏 | Deep Defenderのデモでは、エンドポイントPCを稼働中にルートキットが侵入したとき、Deep Defenderがリアルタイムに侵入を防御する様子が再現された | Deep DefenderはCPUとOSの間、どちらかといえばハードウェアよりの部分で動作するため、ルートキットのOSへの侵入を防ぐ |
■電源オフでもリモートでセキュリティ更新を-McAfee ePO Deep Command
もうひとつの製品であるMcAfee ePO Deep Commandは、マカフィー製品の統合管理ソリューション「McAfee ePO(ePolicy Orchestrator)」の機能を拡張するモジュール。セキュリティ管理者はDeep Commandにより、管理対象のエンドポイントが電源オフの状態でもリモートでセキュリティの最適化を図ることができる。
例えば危険なウイルスが発見され、緊急で定義ファイルをアップデートしなくてはいけない場合、電源が入っていないエンドポイントPCがあると、その間にウイルスに感染してしまう恐れがある。ししたがって管理者はエンドポイントの電源状態に左右されることなく、常にセキュリティ対策を実施できれば、安全性をより高めることが可能になる。
Deep CommandはIntel vProのアクティブマネジメントテクノロジ(AMT)を利用して、電源オフのマシンに対しリモートから起動、セキュリティパッチのアップデートなど最新のセキュリティポリシーを適用し、脅威がまん延する前に対策を講じることを可能にする。またAMTシステムをオンにする時刻を設定するAMTアラームクロック機能とリモートウェイクアップ機能を使用し、ユーザーの業務に支障が出る時間帯を避けてセキュリティアップデートやバージョンアップを行うこともできる。これにより、業務時間中にセキュリティアップデートが突然始まって、パフォーマンスや作業効率が大幅に低下するといった事態を回避することができる。
対応ハードウェアはIntel Core i5 vPro/Core i7 vPro(AMT対応プロセッサ)を搭載したマシン。AMTバージョンは4.2、5.2、6.1.2、7.0、7.1.4をサポートする。対応OSはWindows XP/VISTA/7およびWindows Server 2003/2008/2008 R2(いずれも32ビット/64ビットに対応)。また、McAfee ePO 4.6 Patch1以降が必要となる。
ますます巧妙化し、被害の規模も大きくなっている標的型攻撃に対処するために開発された、インテルとマカフィーの初のコラボ製品。インテルプロセッサに搭載された独自の機能とマカフィーのセキュリティ技術を組み合わせ、マルウェアの組織への深い侵入を防ぐことに注力している。ポイントは、いずれもハードウェアに近い部分で防御し、早い段階での検知/駆除を目的としていることだ。つまりハードウェアの機能に依存する部分が大きく、逆に言えばAMDなど他社製のプロセッサやvPro以前のプロセッサには当面、対応する予定はないという。
気になるのは“Beyond the OS(OSを超えて)”をうたいながら、実際には動作可能なプラットフォームが少なすぎる点だ(特にDeep Defender)。年内リリースが予定されているWindows 8には対応予定とのことだが、エンタープライズの現場には驚くほど多くのレガシーマシンが存在し、これらをターゲットにしたマルウェアも少なくない。両社のシナジーを高めることが目的としても、インテルプロセッサで動くOSはWindows 7だけではない。もし本当にOSを超えたセキュリティを両社が提唱するなら、これらへの対応が両製品の普及にとってのひとつの試金石となるはずだ。逆にレガシーを捨てる選択をするなら、日本での製品展開前にその戦略を明確にしておく必要があるだろう。
両製品とも国内での発売開始時期および価格などは未定。
インテルプロセッサがもつそれぞれのテクノロジをマカフィーのセキュリティ技術と連携させる |