AppGuard(アップガード)とは、AppGuard, Inc.およびBlue Planet-works, Inc.が開発・販売を行っている、エンドポイント用セキュリティ対策ソフトウェア製品の総称である。
概要
エンドポイント内の全てのアプリケーションまたはディレクトリ単位に、ポリシーと呼ばれるアクセスコントロールを設定することで、コンピュータウイルスやマルウェアを含む、不正なプログラムの実行から防御をすることを目的にしたソフトウェア製品である。その特性はホワイトリスト型ウイルス対策製品に近い概念も含まれているが、独自の特許技術を備えており、「OSプロテクト型」という新概念[1]を提唱している。またゼロトラストセキュリティモデルの側面も持ち合わせている製品[2]である。
基本概念
エンドポイント対して詳細なMAC(強制アクセス制御)を行うことで、ホワイトリスト型ウイルス対策製品と同様にウイルスやマルウェアに対して強固な防御性能をもつことが可能となる。一種のアプリケーション・ハードニング製品であり、Linux製品で実装されるSE Linux(Security-Enhanced Linux)同様に、従来のアンチウイルス製品では検知駆除が困難な、ゼロデイ攻撃型のウイルスやマルウェアへの対策製品である。一方、従来のホワイトリスト型では課題となっていたアプリケーション単位での起動可否の設計・設定等の運用面において、利用者の負担を軽減できるような仕組み(Inheritance技術)[3]が用いられているため、オフィス環境のエンドポイント対策としても、運用がし易い製品となっている。
製品ラインナップ
製品群としては以下ラインナップとなっている(2022年1月現在)
- AppGuard Enterprise - Windows クライアントOS版(統合管理型)
- AppGuard Solo - Windows クライアントOS版(スタンドアローン管理型)[4]
- AppGuard SBE(Small Business Edition)- Windows クライアントOS版(Enterprise同様に統合管理型であるが、従業員規模が300名以下の企業向けの製品)[5]
- AppGuard Server - Windows サーバOS版[6]
- AppGuard Home Edition - Windows クライアントOS版(個人向け+スタンドアローン管理型)[7]
- AppGuard Industrial - 産業用PC向けOSプロテクト型エンドポイントセキュリティ [8]
システム構成
- エンドポイントにAppGuard エージェント・ソフトウェアをインストールすることで、エンドポイント内の不正なプログラムの実行に対する防御機能を発揮する。[9]
- AppGuard におけるポリシーとは、アプリケーションまたはディレクトリ単位にアクセスコントロールによる防御ルールを設計・設定し、定義を行うものである。(ファイルパーミッションの概念に近い)
- ポリシーの設定管理は、AppGuardの管理サーバシステム群 (AppGuard Management System) にて集中管理を行い、エンドポイント内ではポリシーを管理する機能はない。
- AppGuard Management Systemで設定したポリシーをエージェントに配信することで、設定を反映する。またエージェントの通信が確立されない場合でも、エンドポイント内のポリシーにより防御機能は維持される。
- AppGuard Management SystemはMSPベンダによる共有環境のクラウド型(SaaS)での提供の他に、専有環境としてプライベートクラウド型、オンプレミス型での利用が可能となっている。
- AppGuard SoloとAppGuard Home Editionは、スタンドアローン管理型の製品のため、エンドポイント内でポリシーの設定管理を行う。(AppGuard Management System 管理サーバでの管理もできない)
- AppGuard Serverについても、AppGuard Enterprise 同様にエンドポイント(サーバOS)にエージェントをインストールして、AppGuard Management Systemでポリシーの集中管理を行う。
防御概念
前述の概要でも記載しているが、AppGuardではポリシーにより防御の判断を行っている。ポリシー設計では以下3つの機能を組み合わせてMAC(強制アクセス制御)の設定を行うことで、エンドポイント上での不正プログラムの起動を阻止することができる。
1.ディレクトリ単位でプログラムの実行可否を管理
Windowsでは、システムスペースとユーザースペースという2つの概念が存在する。AppGuardでは、システムスペースは信頼できる領域として、プログラムの実行を許可する領域として定義し、ユーザースペースは信頼できない領域として、プログラムの実行を禁止する領域として定義されている。
本機能による効果:ユーザースペースにおけるドライブバイダウンロード攻撃や、ユーザーによる不正プログラムの起動を防止する。従って一般的なマルウェアの侵入経路となっている、メールの添付ファイルや、ブラウザからのダウンロード、USBメモリなどによる手法では、不正プログラムが設置されたとしても起動することは不可能となっている。
2.アプリケーションの隔離(Isolation技術)
AppGuardのコア・テクノロジーであり「Trusted Enclave」と呼ばれる、”アプリケーションを隔離する”特許技術である。上記1.のシステムスペースで起動するプログラムにおいては、隔離設定を付与することで、レジストリ、メモリ領域、システムスペースへのアクセスが禁止される(プログラム単体の動作には影響はしない)。ウイルス・マルウェアに利用されるリスクが高い、一部のアプリケーション(MSOffice系、cmd.exe、powershell.exe等)については初期設定でこの隔離設定が実装されている。
本機能による効果:コマンドプロンプトやPowerShell操作におけるレジストリ、メモリ領域、システムスペースへのアクセスが禁止されることで、マルウェアによる他プログラムを利用した不正な起動を阻止する。
3.ポリシーの継承(Inheritance技術)
上記2.の隔離設定は、個々のプログラム(親プロセス)に適用されるが、派生する(呼び出す)子プロセス、孫プロセスにも親プロセスのポリシーが継承される。
例えば、マルウェアが実装されているpdfファイルのリンク先が記載されているフィッシングなどの不正なメールを受信した場合、以下のようなStepでの挙動が想定されるが、Step1のOutlook(親プロセス)に適用されているポリシーが、Step4のマルウェアの起動まで継承されることでマルウェアの起動を阻止することができる。
Step1:Outlook(MUA製品)等でメール本文内のリンク先を開く。
Step2:Google Chrome(ブラウザ製品)等が起動されて、pdfファイルをダウンロードを行う。
Step3:Adobe Acrobat Reader(pdfファイルのビューワ)等が起動されて、pdfファイルが開く。
Step4:pdfファイル内に埋め込まれたマルウェアが起動し、コマンドプロンプトやPowerShell操作において、不正なプログラム処理が開始される。
本機能による効果:親プロセスから派生する子プロセスや、孫プロセスなどのアプリケーション個別の登録をせずともポリシーが継承され、マルウェアから防御することができる。
その他
特許技術
Trusted Enclaves (US Patent# 7,712,143)[11]
CM
導入企業
15,000社(2022年9月時点)[13]
事例記事
外部評価
150億円の資金調達
2018年1月から2020年12月までの設立3年以内で資金調達を実施した国内スタートアップランキング20社[19]において、メーカーであるBlue Planet-worksが、累計150億円の調達でトップであった。
内閣サイバーセキュリティセンター(NISC)からの評価
内閣サイバーセキュリティセンターが平成30年7月25日に発行している「政府機関等の対策基準策定のためのガイドライン(平成30年度版)」で、未知の脅威への対策としてシグネチャファイルに依存しない方式の製品の有効性が記述された(令和3年度版でも記述)。[20]
基本対策事項 6.2.2(1)-1「既知及び未知の不正プログラムの検知及びその実行の防止の機能を有する」について (抜粋)
「シグネチャにより検知する方式以外の手法を用いる製品やサービスを導入することの重要性も高まっている。例えば、シグネチャに依存せずに OS のプロセスやメモリ、レジストリへの不正なアクセスや書き込みを監視し、不正プログラムの可能性がある処理を検知した場合には、不正プログラムの実行を防止するとともに、これを隔離する方式があり、攻撃にスクリプト等を使用するファイルレスマルウェアの対策としても効果が期待できる。」
脚注
出典
外部リンク
|
|---|
| 伝染性マルウェア | |
|---|
| 潜伏手法 | |
|---|
| 収益型マルウェア | |
|---|
| OS別マルウェア | |
|---|
| マルウェアからの保護 | |
|---|
| マルウェアへの対策 | |
|---|
 カテゴリ |
