効果と引き換えに副作用も大きいエンドポイントセキュリティ製品

昔から、セキュリティ対策の基本中の基本といわれる「アンチウイルス」。そして標的型攻撃ランサムウェアなど、近年の高度なサイバー攻撃への対抗策として大きな期待を集めている「EDR(Endpoint Detection and Response)」。これらのセキュリティ対策は、どれもPCやサーバーなどの、いわゆる「エンドポイント」に導入して利用されるものです。守るべき情報が保管されているエンドポイント上に常駐し、脅威の侵入や活動に常に目を光らせることで、脅威を水際で確実にシャットアウトするのです。

実に頼りになるこれらのエンドポイントセキュリティ製品ですが、ときにユーザーの生産性を阻害するやっかいな存在になり得ることも知られています。PC上に導入したセキュリティ製品がスキャン処理を始めたり、ウイルス定義ファイルの更新処理を始めた途端にPCのパフォーマンスが大幅に低下し、仕事の効率が悪化してしまう経験は、きっと多くの方が経験されていることでしょう。

パフォーマンスが低下するだけであれば、まだいい方かもしれません。ひどい場合には、セキュリティ製品が原因でシステムやアプリケーションが応答しなくなってしまったり、最悪のケースではOSがクラッシュしたり、いわゆる「ブルースクリーン」状態に陥ってしまうこともあります。また、ほかのアプリケーションに介入しておかしな動作を引き起こすことすらあります。

アプリケーションベンダーやOSベンダーの中には、もし自社製品の動作が不安定になった際には、「セキュリティ製品を停止させた後に、動作を再度確認してください」とガイドを出しているところも多いようです。このことからも分かるように、エンドポイントセキュリティ製品は大きな効果を発揮する半面、その代償としてさまざまな副作用ももたらします。

「ユーザーモード」と「カーネルモード」

では、なぜエンドポイントセキュリティ製品は、ときにPCの動作を不安定にしてしまうのでしょうか? これを理解するには、「ユーザーモード」と「カーネルモード」という2つの概念を理解する必要があります。

PCやサーバーに搭載されたCPUの実行モードには、「ユーザーモード」と「カーネルモード」の2種類があります。ユーザーモードは、一般のユーザーやアプリケーションなどが動作するモードで、このモードで動作するソフトウェアはそれぞれ専用の仮想メモリ空間が割り当てられ、互いに独立して動作します。それぞれの環境が完全に切り離されているため、あるソフトウェアがクラッシュしてしまったり、不正な動作を試みても、ほかのソフトウェアの動作に影響を与えることはありません。

一方、カーネルモードはOSの中枢部分である「カーネル」のモジュールが動作するモードで、OSの多くのモジュールやデバイスドライバなど、OSそのものやOSに近い場所で動作するソフトウェアが稼働するモードです。カーネルモードで動作するソフトウェアは、OSと同じレベルで動作するため、OSに関してより詳細な情報を取得しやすくなっています。デバイスドライバなどは、OSやハードウェアに関する情報を多く扱う必要があるため、多くがカーネルモードで動作します。

カーネルモードはユーザーモードとは異なり、すべてのソフトウェアが単一の仮想メモリ空間を共有します。つまりユーザーモードのように各ソフトウェアの動作環境が隔離されていないため、あるソフトウェアの不具合や不正な処理が、ほかのソフトウェアの動作に直接影響を与えてしまう可能性が高いのです。

「ユーザーモード」で動作するサイバーリーズン製品

もうお分かりでしょう。実はほとんどのエンドポイントセキュリティ製品は、カーネルモードで動作しているのです。カーネルモードの方がOSのカーネルからより深い情報を得やすいため、昔からほとんどのアンチウイルス製品はカーネルモードで動作することを前提に開発されてきました。また、その過程で蓄積されてきた技術ノウハウを継承して開発されたEDR製品も、そのほとんどがカーネルモードで動作します。

ところで、アンチウイルスやEDRはそもそも、カーネルモードでなければ機能要件を満たせないものなのでしょうか? 必ずしもそうとは限りません。事実、サイバーリーズンが提供するセキュリティ製品は、ユーザーモードで動作できるようになっています。一般的なビジネスアプリケーションと同様、ユーザーモードで完全に独立した空間で動作するため、OSやほかのアプリケーションに与える影響は最小限に抑えられます。

一方、「カーネルモードでないことによるデメリット」があるかというと、実はほとんどありません。カーネルモードで動作するセキュリティ製品は、確かにOSのカーネルから直接情報を得られますが、ユーザーモードで動作するソフトウェアも、OSのAPIを通じてほぼ同様の情報を得られるようになっています。

サイバーリーズン製品はこの仕組みを通じて、カーネルモードで動作するほかのエンドポイントセキュリティ製品と同等の機能を実現しています。それどころか、ユーザーモードで動作することによって、カーネルモードで動作する他製品にはない数々のメリットを実現しています。このあたりについては、回をあらためて詳しく紹介してみたいと思います。

「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033

ホワイトペーパー:次世代エンドポイントのメリット