隔離技術(Isolation Technology)

従来の「検知技術型」ではなく、攻撃の段階で脅威を遮断する。

アプリケーションの起動場所を制限したうえで、プロセスの動作範囲を限定し、通常の動作は可能にしながらも不正なプロセスやメモリへのアクセスや書き込み、OSの重要なコンポーネントなどポリシー違反の動作を完全遮断、阻止します。

起動場所の制限
派生プロセスを隔離

隔離

アプリケーションの起動場所を制限し、ドライブバイダウンロード未然防止する。

感染リスクの高い「ハイリスク」なアプリケーション、プロセスを起動時に「隔離」。各プロセスを監視下において、不正なプロセスは実行前に「遮断」する。

自動継承技術によるポリシー継承

隔離

派生した「子プロセス」「孫プロセス」も自動的に隔離して「監視」する。

アプリケーション制御の仕組み

起動前

Containment
  • アプリケーション起動場所(フォルダ、User Space、USB、ネットワークドライブ):ドライブバイダウンロード攻撃からの防御
  • 信頼できる発行元

起動後

Isolation
  • OSレジストリキーの変更
  • 重要なファイル、システム、フォルダ(Program FilesWindows 等)への書き込み
  • メモリ保護
    • 他のプロセスへのコードインジェクション攻撃防止
    • 他の実行中のアプリケーションのメモリの読み取りを防止

自動継承技術

Inheritance

アプリケーションによって起動されるすべての実行可能ファイル、およびロードされる全てのDLLにポリシーを自動的に反映。

項目 内容
「ハイリスク」アプリケーションの起動場所を制限し、プロセスを隔離
  • インターネットに面して頻繁に動作するアプリケーションを特定し隔離。
  • プロセスの動作範囲を限定し、不正なプロセスやメモリへのアクセスなど、ポリシー違反の動作を完全遮断、阻止。
自動継承技術によるポリシーの継承
  • アプリケーションまたは、プロセス自体(子プロセス、孫プロセス)の振る舞いを常時監視。
  • アプリケーションによって起動されるすべての実行可能ファイル、およびダウンロードされるすべてのDLL(ダイナミックリンクライブラリ)にポリシーを自動的に反映。

隔離 Isolation Technology

起動場所を制限

起動前は起動場所を制限をし監視します。
下図の例はメールを開封しwebブラウザを閲覧したときにPDFファイルをダウンロードをしファイルを開いた時に感染した流れです。

ファイルレスマルウェアの攻撃例

隔離

AppGuardのデフォルトの設定はセキュリティーポリシーが厳しい状態にあり一般の業務ではそのままでは使用しづらい仕様になっています。
アイティーエムはお客様の環境に合わせたセキュリティーポリシーに設定を見直し、その後の運用・管理まで継続して行います。

汎用アプリへのプロセス保護ポリシー
Powershell等コマンドラインインターフェイス(CLI)へのプロセス保護ポリシー

継承

Isolation Technology」は「子のプロセス」「孫のプロセス」と永続的に自動継承されます。

ハイリスク・アプリケーション例(攻撃対象になりやすいアプリケーション)

ブラウザ(IE,Edge,Chrome,FireFox等)、MS Office,Adobe Acrobat系、Java系、Command Line系 等

レジストリやメモリへのアクセスは不正と判断し動作を遮断する。
継承されるプロセス保護ポリシー

自動継承 Inheritance Technology

以下の例は、ユーザがメールを受信し、文章内にあるリンクをクリックすると、ブラウザが起動します。その先にあるPDFファイルをダウンロードすると「ウィルス」や「マルウェア」に感染してしまいました。
一連の流れを分析すると、メーラーが起動した時点で「AppGuard」が起動しプロセスを隔離します。「子のプロセス」「孫のプロセス」と自動継承され全てに対して隔離監視します。

電子署名 Trusted Publisher(Code Signing)

配布されたソフトウェアに施された電子署名が信頼された発行元証明書により、署名されたものであることを確認します。
コードサイニングと呼ばれるデジタル署名技術により、ソフトウェアの供給元(開発企業)の実在性やソフトウェア自体の信頼性を確認し、マルウェアなどが仕込まれた改ざんの挙動を監視し、動作を遮断します。

お問い合わせ

Contact

サービス、記事、サイトに関するお問い合わせはお気軽にどうぞ

メールからのお問い合わせ

メール

メールでのご質問やお問い合わせなどを承ります。

お電話からのお問い合わせ

電話アイコン
土日・祝祭日を除く。AM9:30 − PM6:30