機器のマルウェア対策はホワイトリスト型が効く：組み込み企業最前線 − マカフィー −（2/2 ページ）

[石田 己津人，＠IT MONOist]

ホワイトリスト型の利便性を高めたマカフィー製品

　Windows Embeddedをサポートし、組み込み機器で使える代表的なホワイトリスト型マルウェア対策ソフトとしては、マカフィーの「McAfee Embedded Security」がある。

　同製品の前身は、マカフィーが2009年5月に買収したソリッドコア システムズの「S3 Control Embedded」である。その当時から製品への評価は高く、国内でもPOS端末、ATM、複合機、医療機器といった幅広いジャンルでの標準搭載、インストレーションの実績がある。

	関連リンク：
⇒	McAfee Embedded Security

　McAfee Embedded Securityの特徴は、“ダイナミック・ホワイトリスティング"と呼ぶ独自手法にある。導入時においては、クリーンな状態にある対象システムを用意するだけでよい。McAfee Embedded Securityがシステムをフルスキャンし、ヘッダや拡張子から実行コード（EXE、DLL、Scriptなど）を判別し、ホワイトリストを自動作成する。管理者が手作業で登録する必要がまったくなく、リストにモレがあってシステムが正常に動作しないといった事態を防げる。

図3　実行コードおよびファイル制御（ダイナミック・ホワイトリスティング） ※出典：マカフィー

画像2　マカフィー パートナー営業統括本部 パートナーSE シニアエンジニア 二宮 秀一郎氏

　気になるCPUのオーバーヘッドも数％台という。「マルウェア対策としてはDLLの制御が重要になるが、アプリケーション実行時にロードされるDLLの中身を1つずつチェックするため大きなオーバーヘッドが発生する競合製品もあるが、当社製品の場合、すべてのDLLがあらかじめホワイトリストに登録されており、オーバーヘッドは低い」（二宮氏）。

　また、McAfee Embedded Securityではシステム変更をポリシーベースで柔軟に制御できる。例えば、新たにプログラムを適用する場合、セキュリティ署名付きか、Windows Updateなど認定アップデートサービスが配信したもの、管理者・認定ユーザーがインストールする場合に限って適用を認め（システムのロック状態を一時的に解除）、ホワイトリストも自動更新する。これならば、ホワイトリスト型でもシステム変更のたびに煩雑な手続きを要することなく、保守を効率化できるだろう。

　さらに、ホワイトリスト機能のみならず、メモリ保護機能を備えており、実行中のプロセスを乗っ取るタイプのマルウェアにも有効。データの取り扱いを認定アプリケーションに限るデータ保護機能やシステム変更の履歴を保持する監査機能も備える。なお、McAfee Embedded Securityは通常、個別の機器に搭載され、スタンドアロンで運用されることが多いが、マカフィーの管理コンソール製品「McAfee ePolicy Orchestrator」による統合管理も可能となっている。

	関連リンク：
⇒	McAfee ePolicy Orchestrator

レガシーシステムも環境を固定して安全に使い続ける

　こうしたMcAfee Embedded Securityのホワイトリスト機能、変更制御機能は、製造業の現場に多い“レガシーシステム”にも有効である。マイクロソフトのサポートが切れたWindows NT／2000を採用した製造管理システムが依然多いといわれる。本来ならレガシーOSを最新OSに更新すべきだが、アプリケーション改修に多大な労力が掛かるため、危険を承知で現状維持されるケースが多い。

　そうしたレガシーシステムに対しては、McAfee Embedded Securityの基となっているサーバ／デスクトップ向け製品の「McAfee Application Control」（ホワイトリスト機能）、「McAfee Change Control」（変更制御機能）を採用するとよいだろう。システム環境を固めて余計なものを実行させず、余計な変更を行わなければ、レガシーシステムでも安全に安定運用できる。まだまだセキュリティ意識の低い製造業の現場では、マルウェア対策を一度真剣に考えてみるべきだろう。

図4　McAfee Application Control／Change Control 主な制御機能 ※出典：マカフィー

	関連リンク：
⇒	McAfee Application Control
⇒	McAfee Change Control