AppGuard

リンクを追加
出典: フリー百科事典『ウィキペディア(Wikipedia)』
株式会社Blue Planet-works
Blue Planet-works, Inc.
種類 株式会社
業種 情報通信業
代表者 代表取締役社長 原口直道
外部リンク https://www.blueplanet-works.com/about/corporate.html
テンプレートを表示

AppGuard(アップガード)とは、AppGuard, Inc.およびBlue Planet-works, Inc.が開発・販売を行っている、エンドポイント用セキュリティ対策ソフトウェア製品の総称である。

概要[編集]

エンドポイント内の全てのアプリケーションまたはディレクトリ単位に、ポリシーと呼ばれるアクセスコントロールを設定することで、コンピュータウイルスマルウェアを含む、不正なプログラムの実行から防御をすることを目的にしたソフトウェア製品である。その特性はホワイトリスト型ウイルス対策製品に近い概念も含まれているが、独自の特許技術を備えており、「OSプロテクト型」という新概念[1]を提唱している。またゼロトラストセキュリティモデルの側面も持ち合わせている製品[2]である。

基本概念[編集]

エンドポイント対して詳細なMAC(強制アクセス制御)を行うことで、ホワイトリスト型ウイルス対策製品と同様にウイルスやマルウェアに対して強固な防御性能をもつことが可能となる。一種のアプリケーション・ハードニング製品であり、Linux製品で実装されるSE Linux(Security-Enhanced Linux)同様に、従来のアンチウイルス製品では検知駆除が困難な、ゼロデイ攻撃型のウイルスやマルウェアへの対策製品である。一方、従来のホワイトリスト型では課題となっていたアプリケーション単位での起動可否の設計・設定等の運用面において、利用者の負担を軽減できるような仕組み(Inheritance技術)[3]が用いられているため、オフィス環境のエンドポイント対策としても、運用がし易い製品となっている。

製品ラインナップ[編集]

製品群としては以下ラインナップとなっている(2022年1月現在)

  • AppGuard Enterprise - Windows クライアントOS版(統合管理型)
  • AppGuard Solo - Windows クライアントOS版(スタンドアローン管理型)[4]
  • AppGuard SBE(Small Business Edition)- Windows クライアントOS版(Enterprise同様に統合管理型であるが、従業員規模が300名以下の企業向けの製品)[5]
  • AppGuard Server - Windows サーバOS版[6]
  • AppGuard Home Edition - Windows クライアントOS版(個人向け+スタンドアローン管理型)[7]
  • AppGuard Industrial - 産業用PC向けOSプロテクト型エンドポイントセキュリティ [8]

システム構成[編集]

  • エンドポイントにAppGuard エージェント・ソフトウェアをインストールすることで、エンドポイント内の不正なプログラムの実行に対する防御機能を発揮する。[9]
  • AppGuard におけるポリシーとは、アプリケーションまたはディレクトリ単位にアクセスコントロールによる防御ルールを設計・設定し、定義を行うものである。(ファイルパーミッションの概念に近い)
  • ポリシーの設定管理は、AppGuardの管理サーバシステム群 (AppGuard Management System) にて集中管理を行い、エンドポイント内ではポリシーを管理する機能はない。
  • AppGuard Management Systemで設定したポリシーをエージェントに配信することで、設定を反映する。またエージェントの通信が確立されない場合でも、エンドポイント内のポリシーにより防御機能は維持される。
  • AppGuard Management SystemはMSPベンダによる共有環境のクラウド型(SaaS)での提供の他に、専有環境としてプライベートクラウド型、オンプレミス型での利用が可能となっている。
  • AppGuard SoloとAppGuard Home Editionは、スタンドアローン管理型の製品のため、エンドポイント内でポリシーの設定管理を行う。(AppGuard Management System 管理サーバでの管理もできない)
  • AppGuard Serverについても、AppGuard Enterprise 同様にエンドポイント(サーバOS)にエージェントをインストールして、AppGuard Management Systemでポリシーの集中管理を行う。

防御概念[編集]

AppGuard の3つの基本機能[10][編集]

前述の概要でも記載しているが、AppGuardではポリシーにより防御の判断を行っている。ポリシー設計では以下3つの機能を組み合わせてMAC(強制アクセス制御)の設定を行うことで、エンドポイント上での不正プログラムの起動を阻止することができる。

1.ディレクトリ単位でプログラムの実行可否を管理

Windowsでは、システムスペースとユーザースペースという2つの概念が存在する。AppGuardでは、システムスペースは信頼できる領域として、プログラムの実行を許可する領域として定義し、ユーザースペースは信頼できない領域として、プログラムの実行を禁止する領域として定義されている。

本機能による効果:ユーザースペースにおけるドライブバイダウンロード攻撃や、ユーザーによる不正プログラムの起動を防止する。従って一般的なマルウェアの侵入経路となっている、メールの添付ファイルや、ブラウザからのダウンロード、USBメモリなどによる手法では、不正プログラムが設置されたとしても起動することは不可能となっている。 


2.アプリケーションの隔離(Isolation技術)

AppGuardのコア・テクノロジーであり「Trusted Enclave」と呼ばれる、”アプリケーションを隔離する”特許技術である。上記1.のシステムスペースで起動するプログラムにおいては、隔離設定を付与することで、レジストリ、メモリ領域、システムスペースへのアクセスが禁止される(プログラム単体の動作には影響はしない)。ウイルス・マルウェアに利用されるリスクが高い、一部のアプリケーション(MSOffice系、cmd.exe、powershell.exe等)については初期設定でこの隔離設定が実装されている。

本機能による効果:コマンドプロンプトPowerShell操作におけるレジストリ、メモリ領域、システムスペースへのアクセスが禁止されることで、マルウェアによる他プログラムを利用した不正な起動を阻止する。

 

3.ポリシーの継承(Inheritance技術)

上記2.の隔離設定は、個々のプログラム(親プロセス)に適用されるが、派生する(呼び出す)子プロセス、孫プロセスにも親プロセスのポリシーが継承される。

例えば、マルウェアが実装されているpdfファイルのリンク先が記載されているフィッシングなどの不正なメールを受信した場合、以下のようなStepでの挙動が想定されるが、Step1のOutlook(親プロセス)に適用されているポリシーが、Step4のマルウェアの起動まで継承されることでマルウェアの起動を阻止することができる。

  Step1:Outlook(MUA製品)等でメール本文内のリンク先を開く。

  Step2:Google Chrome(ブラウザ製品)等が起動されて、pdfファイルをダウンロードを行う。

  Step3:Adobe Acrobat Reader(pdfファイルのビューワ)等が起動されて、pdfファイルが開く。

  Step4:pdfファイル内に埋め込まれたマルウェアが起動し、コマンドプロンプトやPowerShell操作において、不正なプログラム処理が開始される。

本機能による効果:親プロセスから派生する子プロセスや、孫プロセスなどのアプリケーション個別の登録をせずともポリシーが継承され、マルウェアから防御することができる。

その他[編集]

特許技術[編集]

Trusted Enclaves (US Patent# 7,712,143)[11]

CM[編集]

導入企業[編集]

15,000社(2022年9月時点)[13]

事例記事[編集]

外部評価[編集]

150億円の資金調達[編集]

2018年1月から2020年12月までの設立3年以内で資金調達を実施した国内スタートアップランキング20社[19]において、メーカーであるBlue Planet-worksが、累計150億円の調達でトップであった。

内閣サイバーセキュリティセンター(NISC)からの評価[編集]

内閣サイバーセキュリティセンターが平成30年7月25日に発行している「政府機関等の対策基準策定のためのガイドライン(平成30年度版)」で、未知の脅威への対策としてシグネチャファイルに依存しない方式の製品の有効性が記述された(令和3年度版でも記述)。[20]

基本対策事項 6.2.2(1)-1「既知及び未知の不正プログラムの検知及びその実行の防止の機能を有する」について (抜粋)
「シグネチャにより検知する方式以外の手法を用いる製品やサービスを導入することの重要性も高まっている。例えば、シグネチャに依存せずに OS のプロセスやメモリ、レジストリへの不正なアクセスや書き込みを監視し、不正プログラムの可能性がある処理を検知した場合には、不正プログラムの実行を防止するとともに、これを隔離する方式があり、攻撃にスクリプト等を使用するファイルレスマルウェアの対策としても効果が期待できる。」

脚注[編集]

[脚注の使い方]

出典[編集]

  1. ^ “新設計の「OSプロテクト型」セキュリティ”. 株式会社Blue Planet-works. https://www.blueplanet-works.com/solution/appguard.html 
  2. ^ Patented "Zero Trust" framework for controlling application behavior:アプリケーションの動作を制御するための特許取得済みの「ゼロトラスト」フレームワーク
  3. ^ 運用を楽にするAppGuard Enterprise
  4. ^ 中小企業を最新の攻撃から守る AppGuard Solo
  5. ^ AppGuard Small Business Editionの特徴
  6. ^ AppGuard Serverの防御の特徴
  7. ^ AppGuard Home Editionライセンス
  8. ^ 産業システムネットワーク接続時の端末セキュリティ
  9. ^ AppGuard Enterprise システム構成
  10. ^ AppGuardを構成する3つの機能
  11. ^ US Patent# 7,712,143
  12. ^ 【長州力が妖精に】リングからサイバー空間に主戦場を移し活躍を続ける長州力が セキュリティソフト “AppGuard”のCMキャラクターに就任
  13. ^ 導入企業数15,000社を突破!
  14. ^ “重要インフラ事業者として情報セキュリティ対策の要諦を語る”. ZDNet. (2021年5月31日). https://japan.zdnet.com/extra/blueplanet-works_202105/35170100/ 2022年1月27日閲覧。 
  15. ^ “「発症させない」セキュリティがテレワークの鉄則、戸田建設が選んだ方法は”. 日経BP. (2021年2月25日). https://active.nikkeibp.co.jp/atcl/wp/b/21/02/17/01269/ 2022年1月27日閲覧。 
  16. ^ “ISID、ANAグループにサイバーセキュリティ製品「AppGuard」を導入”. 日本経済新聞. (2021年5月11日). https://www.nikkei.com/article/DGXLRSP609956_R10C21A5000000/ 2022年1月27日閲覧。 
  17. ^ “ゼロトラスト型のエンドポイント対策とEDRを組み合わせ、現場に即した「ゼロカロリーのセキュリティ運用」とは”. ITmedia. (2021年11月26日). https://atmarkit.itmedia.co.jp/ait/articles/2111/26/news004.html 2022年1月27日閲覧。 
  18. ^ “「マルウェアを発症させない」新概念のAppGuardについて聞いた”. ascii.jp. (2017年11月27日). https://ascii.jp/elem/000/001/591/1591834/ 2022年1月27日閲覧。 
  19. ^ “サイバーセキュリティサービスを提供するBlue Planet-worksが、累計150億円の調達でトップに”. STARTUP DB. (2021年3月25日). https://media.startup-db.com/research/funding-ranking-20182020 2022年1月27日閲覧。 
  20. ^ 政府機関等の対策基準策定のためのガイドラインへの記述

外部リンク[編集]

  • AppGuardの機能(防御概念の説明動画:Youtubeメーカー公式チャンネル)


伝染性マルウェア
潜伏手法
収益型マルウェア
OS別マルウェア
マルウェアからの保護
マルウェアへの対策
カテゴリ カテゴリ
https://ja.wikipedia.org/w/index.php?title=AppGuard&oldid=99195535」から取得