みなさん、こんにちは！Team NOPSWATです。

前回はOPSWAT社および看板製品のMetaDefenderについてご紹介させていただきましたが、本日は第2回ではMetaDefenderシリーズの中核をなすマルウェア対策エンジン、データ無害化エンジンのご紹介をします。

エンジンこそMetaDefenderシリーズの本質といっても過言ではないので掘り下げて紹介します。

■MetaDefenderシリーズのコンセプトって？

前回ふれたようにOPSWAT社は”Trust no file. Trust no device.”というポリシーを真正面から打ち出しております。咀嚼すると、「論理的・物理的にルールの異なる環境から入ってくるファイルや接続してくるデバイスには何か悪意が潜んでいる」という前提に基づきMetaDefenderシリーズの各製品を市場投入しています。

MetaDefenderシリーズの基本的な考え方としては組織外部の環境から組織内部の環境に対して論理的・物理的に入ってくるファイルに対してゲートウェイを構成して、内部に取り込む際にファイルの安全性を徹底的に検査し、悪意を除去したフォイルのみを取り込ませる、ゲートウェイセキュリティ型のソフトウェア製品です。

■マルウェア対策・ファイル無害化エンジンって？

そのMetaDefenderシリーズの中で中核をなすのが前回軽く触れたマルウェア対策エンジン(マルチスキャン)とデータ無害化エンジンの2つのエンジンアプリケーションになります。

今回はそれぞれの特徴について深堀して説明します。

■マルウェア対策(マルチスキャン)エンジンって何？

マルチスキャンエンジンとは複数のエンジンを組み合わせたマルウェア対策エンジンです。よく「1つのマルウェア対策エンジンじゃダメなの？」「8個も12個もエンジン積む必要あるの？」という質問をいただくのですが、OPSWAT社がマルチスキャンエンジンを提唱する理由は2つあります。

上記の表は左側が単体のマルウェア対策エンジンの検知率、右側がマルチスキャンエンジンによる検知率です。

一定数のマルウェア検体を準備し一定期間検査をかけた場合、単体のマルウェア対策エンジンでは低いものでは50%切るものから高いものでは90%超えるなど検知率にばらつきが発生します。この検知結果はあくまで一定数のマルウェア検体によるものなので当然マルウェア検体の種類が変われば各社の検知率も変わってきます。単体のマルウェア対策エンジンだけでは常に高い検知率を維持することは難しいです。

一方でOPSWAT社のマルチスキャンは単体のマルウェア対策エンジンの検知率のばらつきに着眼し複数マルウェア対策エンジンを組み合わせることでファイル1検査あたりの平均検知率を高めること目指します。単体のマルウェア対策エンジンと同等の条件で検査をかけた場合、右側の図の通り8個のエンジンで平均検知率は90%を超え、12個のエンジンでは95%を超え、16個以上のエンジンになるとエンジンの搭載数に比例して限りなく100%に近づく平均検知率を発揮します。単体のマルウェア対策エンジンで発生する検知率のばらつきに対して複数マルウェア対策エンジンを組み合わせることで平均検知率を高めることがマルチスキャンエンジンの1つ目の特徴となります。

2つ目の特徴は新種マルウェアの発生に対する対応速度の迅速化です。

考えると当たり前なのですが、例えば北米でウィルスが発生した場合は北米で最初に被害が確認されるため、北米に開発拠点を持つマルウェア対策ベンダーのパターンファイルのリリースが早いです。ヨーロッパが発生源の場合はヨーロッパのベンダーが、アジアが発生源の場合はアジアのベンダーがそれぞれ早くパターンファイルをリリースする傾向は変わりません。OPSWAT社はマルチスキャンエンジンのポートフォリオ組むにあたり、平均検知率の精度向上を考えながら新種マルウェアのへ対応速度を速めるため、マルウェア対策ベンダーの開発拠点の分布のバランスをとることで新種ウィルスへの対応速度の迅速化を図っています。

マルチスキャンエンジン数ごとの新種マルウェアの検出速度を評価すると8個のエンジンでは3日ちょっとかかるのに対して、20個のエンジンでは即日に検知しています。単体のマルウェア対策エンジンにはばらつきがある、という事実と向き合い組み合わせによる平均検知率の向上と新種マルウェアへの対応速度の迅速化を図れることがマルチスキャンエンジンの特徴となります。

■ファイル無害化エンジンの特徴って何？

まず何といっても一番の特徴は無害化処理に対応する拡張子数です。2021年7月末段階で115種類の拡張子に対応しています。また、そのうち95種類については拡張子を変えず元のファイル形式を維持したまま、以下のとおり無害化という用語の原義であるContent Disarm & Reconstruction：コンテンツの非武装化と再構築を行うことが可能です。

ただ、現在の日本国内においては「ファイル無害化」という場合、ファイルタイプ変換も潜在的な危険因子削除も、さらにその先のファイルを分析して内部ファイルも抽出・潜在的な危険因子を無害化して再構成する処理も、本来厳格さが異なる無害化処理のレベルを同じものとして扱っているように感じています。

OPSWAT MetaDefenderシリーズの無害化エンジンは”Deep CDR”の名の通り、上記の図でいうレベル3の性能をもったファイル無害化エンジンです。ここまで文字で無害化処理プロセスを記述してきたので図解を使って説明したいと思います。

上の図の通り、1つのファイルがあるとOPSWAT社の無害化エンジンではまずファイル構造を分析したうえで元ファイルに含まれる内部ファイルを抽出します。その上で、元のファイルおよびその内部に含まれる内部ファイルタイプごとに無害化エンジンに設定されたポリシーにもとづき無害化処理を行い、ファイルを再構成します。

上記以外にファストイン・ファストアウト方式ではなく複数ファイルの並列処理方式による無害化処理速度の迅速さや、日本語文書を用いた品質検査によるファイルのヴィジュアルイメージ(見た目)の保持性といった特徴があるなかで私たちが評価しているのがOPSWAT社の情報開示姿勢です。

私たちもOPSWAT製品をはじめ多くの海外ベンダー製品を一次代理店として取り扱っていますが、セキュリティ製品の場合は特に防御機能の詳細や性能に関する情報は一般公開されにくい印象を持っています。しかしOPSWAT社の場合はファイル拡張子の対応状況や無害化処理で扱われることの多いファイルタイプの処理速度など、製品採用の検討段階だからこそお客様が知りたいと考える情報を誰でも閲覧できる形で公開している点を高く評価しています。(構築・運用に役立つオンラインヘルプも充実しています。)

【OPSWAT社 無害化対応ファイルタイプ一覧情報】

【OPSWAT社 ファイル処理速度検証結果】

■「あるべき姿」のファイルセキュリティって？

第2回ブログではOPSWAT社の中核技術であるマルチスキャンエンジンとファイル無害化エンジンをフォーカスしてご紹介しました。どちらのエンジンもOPSWAT社固有の強みを持っていますが、私たちは組み合わせてこそ最大のセキュリティ強度を発揮すると考えています。

世界中には様々なファイルタイプが存在しています。ファイルセキュリティにおいてはまずファイルタイプに依存しない形で安定的に高い平均検知率を実現するマルチスキャンエンジンでマルウェア対策を行い、そのうえでマルチスキャンの検査で問題ないと判断されたファイルに対して元のファイルに含まれる内部ファイルの無害化処理・再構成を行って内部環境にファイルを取り込むというマルチスキャンエンジンとファイル無害化エンジンを組み合わせた対策を推奨しております。

また実際の運用設計の面でも組み合わせることのメリットはあります。無害化エンジンのみの対策では無害化に対応しないファイルタイプについては内部環境への取り込みを認めるか・認めないかというゼロサムの選択が求められますが、マルチスキャンエンジンも併用する場合は、無害化対応していないファイルタイプであってもマルチスキャン検査で問題がなければ内部環境への取り込みを認めるなど、ファイル取り込みの運用を考えた際の現実的なルール設計の選択肢が増やせる点でも組み合わせて採用いただくことを推奨しております。

次回以降は日本の市場やユースケースを絡めた形でOPSWAT MetaDefenderシリーズを紹介していきたいと思います。

【OPSWAT連載ブログリンク】