AppGuardとは?

AppGuard(アップガード)とは?

AppGuardは、株式会社Blue Planet-worksが開発・提供している次世代型エンドポイントプロテクションです。従来の定義ファイルや機械学習を使用している検知型のウィルス対策製品・マルウェア対策製品と異なり、アプリケーションの本来の動作以外の不正な動きを全てブロックする防御型のエンドポイントプロテクションです。高度標的型攻撃対策および未知の脅威対策を強化したいお客様にお勧めです。

AppGuardは、もともと米国のBlue Ridge Networks社が開発した製品であり、米国の政府機関、金融機関、公共機関等で19年以上の実績のある製品で、過去3年連続でGSN(Global Security News)Homeland Security Awordを受賞しており、米国陸軍並びにアメリカ国防総省の高水準なセキュリティ基準を満たしたことを示すCoN認証も取得しています。

AppGuard 防御

AppGuardが注目される理由

従来の検知型では対応しきれない

昨今のマルウェアは、1秒に約8~10個の新種のマルウェアが発生していると言われており、従来の定義ファイル型のスキャン方式では未知の脅威を検知することが難しいと言われるようになりました。そこで、セキュリティベンダーは機械学習や相関分析による未知の脅威対策を実装したり、EDR(Endpoint Detection & Response)と呼ばれる感染前提の対策製品をリリースしています。

しかし、検知型のマルウェア対策製品の検知率は、概ね99%~99.7%と言われており、100%防ぐことはできません。マルウェアに感染し被害にあってしまったら、現状復旧や感染源の特定等の作業が必要となります。これには、多くの労力・コスト、セキュリティ知識が必要となります。昨今の日本企業の情報システム部門は「一人情シス」と言われるほど人材が不足しており、十分な人的リソースが確保できているとは限りません。手間のかかる運用やセキュリティ人材の確保は現実的ではなくなってきています。

専門知識不要で確実にブロック

AppGuardは、アプリケーションを隔離・監視して正しい動作以外を全てブロックするというシンプルな概念を実装しており、18年以上破られたことがない実績のある製品です。万が一、マルウェアに感染したとしても発動自体をブロックすることができるため、感染被害を最小限に抑えることができます。AppGuard導入時にポリシーを作成する必要がありますが、それ以降は定義ファイル等の頻繁な更新は必要ありませんので、運用コストも大幅に削減することができます。セキュリティに関する専門知識も不要なため、十分な運用体制でなくても導入いただけます。

       

今後、不正プログラムの実行防止が求められる

最近では、NISC(内閣サイバーセキュリティセンター)が作成している政府機関等向けのセキュリティ対策基準ガイドラインの中にある基本対策事項に、「既知及び未知の不正プログラムの検知及びその実行の防止の機能を有するソフトウェアを導入すること」という記述が新たに追加されており、今後のセキュリティ対策のトレンドとしても注目されています。

防御の仕組み

AppGuardは、アプリケーションの動作についてポリシーベースでブロックすべきかどうか判定します。まず、デスクトップやドキュメントといった「ユーザースペース」と定義された領域では、予め信頼された発行元リストに登録されたデジタル署名付きアプリケーション以外は起動できません。つまり、スクリプトや未署名のアプリケーション、信頼された発行元リストに登録されていないアプリケーションは一切起動することはできません。Microsoft社、Adobe社等のアプリケーションはデフォルトで信頼された発行元リストに登録されているため、インストール、アップデートともに問題なく動作します。

次に、C:\Windows、C:\Program Files、レジストリといった「システムスペース」と定義された領域では、アプリケーションは制限なく起動できます。但し、システムスペースにあるアプリケーションでも、Webブラウザー/メーラー/Microsoft Officeといった外部から怪しいファイルを受け取るようなハイリスクアプリケーションは、ガード対象のアプリケーションとして設定しておくことで、システムスペースの変更や他プロセスのメモリーへのアクセスをブロックすることができます。

AppGuard 防御の仕組み

さらに、自動継承技術により、ハイリスクアプリケーションをガード対象と設定しておけば、ハイリスクアプリケーションを経由して実行されるプログラムは全てガード対象となるため、不正な動作を確実にブロックすることができます。下図の例では、メーラーをガード対象として登録しておけば、その後にWebブラウザー、Adobe Readerを経由したとしても悪意のあるプロセスはブロックされます。

AppGuard 自動継承技術

特長

特長

未知の脅威からの攻撃でも遮断できる

AppGuardは、未知・既知のマルウェアに関係なく、不正な動作をブロックします。EDR(Endpoint Detection & Response)製品では、検知できないことを前提に可視化に注力していますが、AppGuardは「Isolation Technology」と呼ばれる技術を用いてプロセスを隔離し、システムへの不正な書き込みをブロックします。

以下の図のように、ガード対象としたアプリケーションは隔離されるため、通常動作可能区域(黒枠の内側)でのみ動作が可能となります。例え、マルウェアが侵入していたとしても、ポリシー違反区域(オレンジの領域)へのアクセスは全てブロックされます。また、自動継承技術により親プロセスがガード対象であれば、子プロセスもガード対象となって隔離されます。

隔離技術

軽量な動作

スキャンを実施しないため、CPUやディスクに負荷がかかりません。エンジン自体は1MB程度、使用メモリーも10MB程度と非常に少ないリソースで動作します。そのため、低スペックPCやバッテリーを搭載したモバイルPCでも生産性を妨げることなくお使いいただけます。

運用負荷の低減・専門家不要

定義ファイルを使用しないため、定期的なアップデート作業が不要となります。また、エンジンのバージョンアップ頻度も少ないこと、誤検知・過検知によるファイルの復旧作業が発生しないことから運用負荷の軽減が期待できます。

危険なマルウェアの実行を未然に阻止できるため、インシデントが発生しません。被害状況等の調査や復旧作業を実施しなくて済みますので、セキュリティ専任担当者は不要となります。

導入しやすい

常時ネットワークに接続する必要がないため、色々な環境で導入できます。また、Windows APIのみで動作しているため、Windows 10の機能更新プログラムや品質更新プログラムの影響を受けにくく、安心してお使いいただけます。

自動継承技術により、攻撃対象となりやすいWebブラウザー、メーラー、Microsoft Office等に対してガード対象とするポリシーを設定するだけで、これらのアプリケーションを経由して実行されるプログラムは全てポリシーが継承され、システムの変更は全てブロック対象となります。そのため、ポリシー設定をシンプルに実装できます。

サービスの提供範囲

本サービスでは、AppGuardの製品機能を提供するだけでなく、クラウド環境にある管理サーバーの運用を含めた弊社オペレーション業務も提供いたします。なお、サービス導入に際してはトライアルもしくはPoCによる事前導入評価が必要です。


製品機能

各種ガード機能

AppGuard製品には、アプリケーションのインストールをブロックしたり、他プロセスのメモリー領域のアクセスをブロックしたりするガード機能が複数あり、本サービスでは製品の持つ全てのガード機能をご提供します。

外部メディアからの起動制御

CD/DVDやUSBメモリー等の外部メディアに保存されたアプリケーションを起動させるかどうか選択できます。ワンタイムパスワードやWindowsの管理者権限を使って一時的に起動を許可させることで、アプリケーションをインストールしたり、一時的にアプリケーションを起動させたりすることも可能です。

Webコンソール

Webコンソールにアクセスし、AppGuardがインストールされたクライアントの一覧を閲覧したり、ブロックされたログを閲覧することができます。また、一時的にガードを無効にしたり、AppGuardをアンインストールするためにWebコンソール上からワンタイムパスワードを取得することもできます。

オペレーション業務

ポリシー変更作業

お客様のご要望に応じて、ポリシー変更等の設定変更作業を当社にて実施します。また、エージェントをアップデートしたい場合に配信処理を実施することもできます。

管理サーバーの運用

管理サーバーの日々の運用やバージョンアップ作業を当社にて実施いたします。

問い合わせサポート

本サービスに関するお問い合わせに対して、サービスデスクが回答いたします。当社内で解決できない場合は、開発元等にエスカレーションする場合がございます。