NECキャピタルソリューションは2013年9月3日、クライアントPC向けのマルウエア対策ソフトを運用管理サービス込みで月額制で提供する「PIT-マネージドエンドポイントプロテクション」を発表、同日提供を開始した。料金(5%税込み)は、パソコン1台当たり月額441円(最低利用期間は12カ月)で、最低5台からサービスを利用できる。
ソフトウエアとして、ウェブルートがクラウド型で提供するマルウエア対策ソフト「Webroot SecureAnywhere Business - Endpoint Protection」(関連記事)を利用する。このソフトウエア(クラウドサービスとエージェントソフト)をそのまま利用しつつ、ソフトウエアライセンスのほかに、初期設定やマルウエア感染時の通知などの運用管理サービスを付加して提供する。
標準サービスに含まれる主な運用管理項目は以下の通り。導入時には、初期設定を施す。運用時には、マルウエア感染を検知した際の管理者への通知や、マルウエアでないものをマルウエアであると誤検知した際のウェブルート側へのデータベース修正依頼の代行、などを実施する。このほか、各種サポートを提供する。また、既存の別サービスを契約すれば、マルウエアに感染したパソコンの切り離しなども実施できる。
付加価値を付けた再販に当たるため、ウェブルートへのライセンス使用料の支払いも代行する。ウェブルートがもともと用意しているライセンス形態は年額制だが、PIT-マネージドエンドポイントプロテクションでは、これを月額制で提供する(ただし、最低利用期間は12カ月)。NECキャピタルソリューションによれば、運用管理サービス込みで同ソフトを提供するのは国内で初という。
未知のファイルの振る舞いを監視、検知時には変更をロールバック
利用しているマルウエア対策ソフト(Webroot SecureAnywhere Business - Endpoint Protection)の特徴は、クラウド連携によってエージェントを軽量化していることと、マルウエアの被害を最大限に食い止めて情報漏洩を防ぐための機能群にある。マルウエアの判定エンジンとなるクラウドサービスと、Windowsパソコンに導入するエージェントソフトで構成する。
マルウエアの判定は、第一段階として、プログラムファイル(実行形式およびライブラリ)と同一のファイルがデータベースに登録されているかどうかを、ハッシュ値で判定する。エージェント側でファイルのハッシュ値を計算してクラウドに照会し、白(安全)、黒(マルウエア)、グレー(未知のファイル)のいずれかの判定結果を得る。
第二段階として、グレー(未知のファイル)と判定されたプログラムについては、エージェント側で実行し、その振る舞いを検知する。まずはサンドボックス(仮想的なOS環境)上で実行し、サンドボックス上で問題が見つからなかったプログラムについては、実OS環境で実際に動作させ、振る舞いをログに残す。このログをクラウドに渡すことで、クラウド側でマルウエアかどうかを判定する。
この第二段階の特徴は、プログラムがマルウエアであると判定された場合に、そのマルウエアがエージェント側のシステムに対して行ってきた改変行為(レジストリの書き換えなど)をロールバックすること。これにより、マルウエアを一定期間実際に実行させていても、被害を最小限に食い止めることができる。
