エンドポイントセキュリティ製品の不安定さの一因「カーネルモード」

「アンチウイルス製品をインストールして以降、PCの動作が不安定になった」
「OSのパッチを当てたら、セキュリティ製品の挙動がおかしくなった」
「業務アプリケーションの挙動がたびたびおかしくなるが、どうもセキュリティ製品が悪さをしているようだ」

こんな経験をした方、結構多いのではないでしょうか。こうした現象の多くは実は、PCやサーバーに導入するエンドポイントセキュリティ製品のほとんどが「カーネルモード」で動作することに起因しています。カーネルモードとは、OSのカーネルと同じレベルで動作するモードのことで、OSから直接さまざまな情報を取得できるメリットがある代わりに、ソフトウェアのちょっとした不具合がOSや他のソフトウェアの動作に悪影響を及ぼすため、システム全体の不安定化の要因となり得ます。

一方、通常のアプリケーションはカーネルモードではなく「ユーザーモード」で動作します。カーネルモードとは異なり、OSと直接のやりとりはできませんが、各ソフトウェアの実行環境が互いに完全に分離されているため、あるソフトウェアの処理結果が他のソフトウェアやOSに悪影響を及ぼすことは基本的にありません。

ほとんどのアンチウイルス製品は、OSのカーネルから情報を直接取得できるメリットを重視してカーネルモードを前提に設計されており、またその技術ノウハウを継承して開発されたEDR製品の多くも、やはりカーネルモードで動作するようになっています。そのため、こうした製品のちょっとした不作法がOSの動作に悪影響を及ぼしたり、あるいは逆にOSのバージョンアップによって製品側の動作が不安定になったりといった問題を引き起こすのです。

ユーザーモードで動作するサイバーリーズンのセキュリティ製品

ただし、必ずしもカーネルモードで動作しなければOSから十分な情報が得られないわけではありません。ユーザーモードで動作するソフトウェアも、OSのAPIを使えば十分に情報が得られます。事実、サイバーリーズンが提供するエンドポイントセキュリティ製品はこの方法を採用しているため、ユーザーモードで動作できるようになっています。そのため、カーネルモードで動作するほかのエンドポイントセキュリティ製品とは違い、システム全体を不安定な状態に陥れるリスクが極めて低く、普段の業務に与える影響を最小限に留めながら高いレベルのエンドポイントセキュリティ対策を実現できます。

またサイバーリーズンのエンドポイントセキュリティ製品は、エンドポイント上で各種データを収集し、それをクラウド上のサーバーにアップロードした後に分析処理を行います。そのため、PCやサーバーといったエンドポイント上では複雑で重い処理を行わず、よってCPUやメモリといったシステムリソースに与える負荷も最小限で済みます。

このように業務に与える影響が少ないということは、安心して多くのPCやサーバーに導入し、より多くの情報を連続的に収集できるということでもあります。こうして広範かつ大量の情報をコンスタントに収集できれば、エンドポイント上で進行している未知の攻撃をより正確に早い段階で検知できるようになり、セキュリティレベル全体の底上げにもつながります。

業務に影響を与えることなく最新の脅威に常に対応

エンドポイントセキュリティ製品の多くは、常に最新の脅威に対応できるよう、頻繁にソフトウェアのアップデートを行います。その際、カーネルモードで動作する大部分の製品は、OSのコアシステムと密接に連携しながら動作するため、アップデートを行った後にPCの再起動を必要とします。これにより仕事の生産性が大幅に低下するのは言うまでもなく、連続稼働を前提とするサーバーや制御システムなどはそう簡単に再起動できないため、やむなく古いバージョンのセキュリティ製品を使い続けることになります。当然、再起動するまでの間は、最新の脅威には対応できない危険な状態が続くことになります。

その点、サイバーリーズン製品はユーザーモードで動作するため、バージョンアップを行ってもOSには何の影響も与えず、よって再起動も必要としません。システムの安定稼働や業務効率に悪影響を及ぼすことなく、常に最新版のソフトウェアを適用できるため、最新の脅威に対して常時万全の備えが可能となります。またOSの方がバージョンアップされた場合も同様で、OSのコアシステムとは完全に切り離された状態で動作するため、OSのバージョンアップの結果によってセキュリティ製品型の動作が大きく影響を受けることはありません。

「ユーザーモードで動作するということは、ユーザーや攻撃者がセキュリティ製品のプロセスを意図的に停止させることも可能なのでは?」

こう考える方もいるかもしれません。しかしサイバーリーズンの製品は、2つのプロセスが互いの動作状況を監視し合い、もし片方のプロセスが強制的に無効化されたとしても、もう片方によって自動的に再起動される仕組みになっています。そのため、外部から意図的にプロセスを無効化することはできません。

このようにサイバーリーズンのエンドポイントセキュリティ製品は、ユーザーモードで動作することによってカーネルモードで動作する旧来のセキュリティ製品が持つ弱点を克服するとともに、これまでにない新たなメリットを数多く提供します。これまで、エンドポイントセキュリティ製品の不安定さに泣かされてきた方々にとって、極めて導入価値が高い製品だと言えるでしょう。

「次世代エンドポイント(EDR)のメリット」とは? Cybereasonの関連情報を公開中

CybereasonのEDR(Endpoint Detection and Response)プラットフォームが提供する7つのユニークな機能をご紹介するホワイトペーパーを公開しております。ぜひご活用ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=1033

ホワイトペーパー:次世代エンドポイントのメリット