開発者に聞く

このコーナーでは、日立製作所の研究所等で研究・開発を行っている技術テーマを中心としたコラムをお届けします。 研究員にインタビューを行い、技術テーマ解説・開発過程におけるエピソードなどを交えてわかり易くご案内いたします。

アクセス制御ポリシーを自動設定し、未知のウイルスからもクライアントPCを ガードする　クライアント向けHacker Safe

■ 未知のウイルスからもファイルを防御

−　今回開発されたセキュリティ技術の概要を教えてください。

荒井：　皆さんが会社でお使いのクライアントPCには、みずから作成したドキュメントファイルや、サーバからダウンロードしたファイルなど、ビジネスにとって非常に重要な情報資産が納められていると思います。その一方で、Webアクセスやメールを多用するクライアントPCは、常にウイルス感染やトロイの木馬などの脅威にさらされています。 　そこで、クライアントPCにある情報資産を、こうした不正プログラムによる改ざんや漏えいから守りつつ、一般ユーザーでもポリシーを容易に設定できる環境を提供しようと考えました。 　確かに現状でも、ほとんどのクライアントPCにはウイルス対策ソフトが入っていると思います。しかし、未知のウイルスに対しては完全に防御しきれない。それは、新しいウイルスが発見されてから、ソフトウェアベンダーがワクチンソフトを作成し、インターネット経由で更新させるまでには、半日から数日間といったタイムラグが生じてしまうからなんですね。そこで何とか一歩先に、手元のドキュメントファイルを守る方法はないかと考えたのが開発のきっかけでした。 　まだ製品化には至っていない段階ですが、すでに同様の機能をサーバ・プラットフォームで実現した製品として「Ex-Manager Hacker Safe」というものを提供していますので、今回の技術をわれわれは「クライアント向けHacker Safe」と呼んでいます。

−　未知のウイルスによる被害を、どうやって防ぐことができるのでしょう。

荒井：　クライアント向けHacker SafeはWindowsなどのOSが持っているファイルシステムの近くに常駐し、各種プログラムに対するアクセスを常に監視します。そして、どのプログラムがどのファイルにアクセスしようとしているかを分析し、あらかじめ決められたルールに従って、そのプログラム以外はファイルにアクセスできないようにします。つまり、どんな新種のウイルスや不正なプログラムが侵入しても、それらはねらったファイルにアクセスできない状態にしてしまう。これにより、改ざんや情報漏えいといった“悪さ”をできなくする仕組みです。

■ Windowsのレジストリやプログラム情報を利用してルールを生成

−　あるファイルに対して、どのプログラムのアクセスなら許可する、といったルールは、どうやって生成するのでしょうか。
荒井：　実はWindowsのレジストリを利用しています。ワープロや表計算のファイルには、ワードなら「.doc」、エクセルなら「.xls」というように、それぞれ拡張子が付いていますよね。さらにOSの方では、例えば拡張子「.doc」のファイルを頻繁に使うプログラムはWordであるという“関連づけ情報”を持っています。この関連付け情報はWindowsの場合、レジストリという領域に持っていますので、その部分をこのソフトのツールが見に行って、関連付け情報から「アクセス制御ポリシー」としてのルールを自動生成する仕組みです。「拡張子が.docの場合はWordからのアクセスは認めるが、それ以外のプログラムからのアクセスは一切認めない」というようなルールを作るわけです。
−　もしウイルスなどが、Wordを装ってアクセスしようとしたら？
荒井：　心配はいりません。確かにウイルスの一部には、本物のプログラムを消去して、自らがそのプログラムになりすまし、アクセスを図ろうとするものがあります。しかしクライアント向けHacker Safeでは、プログラムの真正性を保証するため、プログラムファイルの特徴値をハッシュ関数を使って保持し、先ほどのルールの中に入れておく機能があります。ハッシュ値をごまかして中身の違うものを作るというのは、ほぼ不可能に近いので、正しいプログラムからでしか、そのファイルにアクセスすることはできません。	図1　「ファイルアクセス制御機能」なし ※クリックして拡大図をご覧下さい
−　今回、特に工夫されたのは、どんな点でしょう。
荒井：　一般ユーザーでも容易にルールの自動設定ができる「ポリシー設定支援ツール」を提供している点です。これはサーバ版にもない新機能です。このツールでは、OSが管理する情報をもとに、許可されたプログラムによるファイルアクセスだけを通し、それ以外のアクセスを遮断するためのポリシーを自動的に生成します。言葉で言うと難しいのですが、実際の操作としては、ツール画面の「保存」ボタンを押すだけという簡単さです。 　また、不正なアクセスがあった場合、クライアント向けHacker Safeは「ファイルへの不正アクセスをブロックしました」という監視ログ画面を自動的に立ち上げるのですが、そこからも簡単にポリシーの修正ができるようにしました。	図2　「ファイルアクセス制御機能」有り ※クリックして拡大図をご覧下さい
−　修正とは、例えばどんな状況の時に行うのですか。
荒井：　そのプログラムのバージョンアップを行った後、クライアント向けHacker Safeのポリシー設定を忘れていたというような場合、当然プログラムのハッシュ値が違ってくるため、ソフトは不正プログラムからのアクセスととらえ、防御する場合があります。そういった場合には、ポリシー設定支援ツールを立ち上げなくても、出てくるログ画面をクリックするだけで、以後はアクセスを許可するか、許可しないかの問い合わせウインドウが開き、その場でルールの更新が行えるのです。 　このようにプログラムの追加や更新など、OSが管理する情報に変化がある場合にも、ユーザーは対話形式で柔軟にポリシーを修正できるため、いちいちシステム管理者などに問い合わせる必要がありません。強固なセキュリティ機能とやさしいインタフェースの両立はなかなか難しい要件ですが、「ポリシー設定支援ツール」を提供することで、今までにない使い勝手の向上を実現できたと自負しています。

■ 一般ユーザーでも容易に利用できる

−　それが競合製品へのアドバンテージでもあるわけですね。
荒井：　他のクライアント用セキュリティ製品の多くは、機密性の高いファイルを置くためのフォルダ、公開情報を置くフォルダなど、フォルダごとにファイルアクセス制御のルールを手動で設定しなければならないパターンが多いのです。しかし実際のクライアントPCは、社員一人ひとりが各自の裁量でフォルダ構成をしていますし、インストールされているプログラムも一律ではありません。そこで個別のポリシー設定を行うというのは、非常に困難な作業となります。その点、クライアント向けHacker Safeは、OSのレジストリを利用するため、特別な知識がなくてもツールが自動的にポリシーを設定してくれる。こちらの方がセキュリティ的にも確実な効果を発揮すると考えています。	図3　クライアント向けHacker Safe ※クリックして拡大図をご覧下さい
−　今後の展開は。
荒井：　クライアント向けHacker Safeには、入ってきた不正プログラムそのものを駆除する機能はありません。それはウイルス対策ソフトで後日更新されるワクチンによって駆除する形となっています。言うなれば、クライアント向けHacker Safeとウイルス対策ソフトと相互補完の関係にありますが、製品化の段階では、もう一歩踏み込んだ安心機能を持たせたいと考えています。 　また、クライアント向けのセキュリティ製品は、安全性の追求とともに、やはり使い勝手の善し悪しが重要な要素となります。さらに皆さんが使いやすいよう、インタフェースを一段と磨き上げていくつもりです。

（次ページへ）

[ Back ]　2 / 3　[ Next ]