ウェブルートは2012年10月3日、ウイルス対策ソフトの企業向け版「Webroot SecureAnywhere Business - Endpoint Protection」(写真)を発表、同日販売を開始した。同ソフトの主な特徴は、クラウド連携によってエージェントを軽量化していることや、マルウエアの被害を最大限に食い止めて情報漏洩を防ぐための機能群である。
2012年5月に発売した個人向け版「Webroot SecureAnywhere」をベースに、企業の需要に合わせて集中管理コンソールを付与した製品。クラウド上で提供するWeb型の管理コンソールを使い、個々の社員のパソコンに組み込まれたエージェントソフトの状態や動作ポリシーを一元管理できる。エージェントソフトを各パソコンに配備(インストール)するためのツール群も提供する。
価格(税別)はオープンだが、参考価格は、最安価となる2万ライセンス以上の場合に1ライセンス当たり年額2250円。最も単価が高くなる5~24ライセンスの場合に1ライセンス当たり年額5000円程度という。これに対して、既存の個人向け版の参考価格は1ライセンス年額3980円から。エージェントの稼働OSは、Windows XP/Vista/7/8、Windows Server 2003/2008。管理コンソールはWebブラウザー経由で利用する。
ソフトウエアの構成要素は、マルウエアかどうかを判定するエンジンとなるクラウドサービスと、各エンドポイント(Windowsが稼働するクライアントPCやサーバー機)上にインストールするエージェントソフト。主な特徴は、マルウエアを判定する手法とマルウエアの被害を食い止める機能群にある。
ハッシュDBと振る舞いで検知、システム改変のロールバックも可
マルウエアの判定は、第一段階として、プログラムファイル(実行形式およびライブラリ)と同一のファイルがデータベースに登録されているかどうかを、ハッシュ値で判定する(MD5ほか複数のハッシュ関数を同時に使う)。エージェント側でファイルのハッシュ値を計算してクラウドに照会し、白(安全)、黒(マルウエア)、グレー(未知のファイル)のいずれかの判定結果を得る。
この第一段階では、エージェント側ではハッシュ値を計算してクラウドに渡すだけでよいため、処理負荷は低い。エージェント側では判定を行わないため、いわゆるパターンファイルも必要ない。実際に、エージェントのインストールサイズは、700Kバイト程度と小さい。
第二段階として、グレー(未知のファイル)と判定されたプログラムをエージェント側で実行させ、その振る舞いを検知する。ここでは、まずはサンドボックス(仮想的なOS環境)の上で実行する。ここで問題が見つからなかったプログラムについては、実OS環境で実際に動作させて、振る舞いをログに残す。このログをクラウドに渡すことで、クラウド側でマルウエアかどうかを判定する。
この第二段階での特徴は、プログラムがマルウエアであると判定された場合、そのマルウエアがエージェント側のシステムに対して行ってきた改変行為(レジストリの書き換えなど)をロールバックできることである。これにより、サンドボックス上で検知できなかったマルウエアを一定期間実際に実行させていた場合であっても、被害を最大限に食い止められる。
さらに、マルウエアが動作してもパソコンから情報が漏洩しないように、情報漏洩対策機能とファイアウォール機能(アクセス制御機能)を提供する。例えば、特定のWebブラウザーソフトなどを指定し、指定したプログラムと任意の外部プログラムとのデータ連携を禁止できる。また、アクセスするWebサイトごとに、データ連携の制御やデータ通信内容に応じた通信制御などができる。
