アプリケーションコントロールとHIPS

サイバー攻撃からの従来の保護は、アプリケーションの実行前に、既知のマルウェアの指標のデータベースと照合してアプリケーションをチェックするマルウェア検知に基づいて行われています。カスペルスキー製品では、このような脅威からの保護の基本となる層は、KSNクラウド検知、機械学習によるマルウェアの分類、アンチルートキットなどのアンチマルウェアテクノロジーになります。

もう1つの効果的なアプローチは、システムへの攻撃に対する「防御を強化」することです。重要なシステムリソースへのアプリケーションのアクセスを制限して強固にすることで、未知の脅威でもブロックできます。リソースに焦点を当てた保護手法の主な例は、ローカルのホワイトリスト/ブラックリストのルールに従ってファイルの実行を許可またはブロックするアプリケーションコントロール、アプリケーションのレピュテーションに基づいて、ホストリソース（データ、レジストリキー、プロセスメモリなど）へのアプリケーションのアクセスを制限するホストベース侵入防止システム（HIPS）です。

カスペルスキーの多層エンドポイントセキュリティの全体像を把握するには、次層の実行制御テクノロジー（ふるまい検知、脆弱性攻撃ブロック、修復エンジン、脆弱性監視機能）についても言及する必要があります。これらは、TechnoWikiの別の記事で紹介しています。

信頼カテゴリ

カスペルスキーのソリューションでは、アプリケーションを信頼カテゴリに割り当て、各カテゴリで許可される以下の操作を定義して、リソースを保護します。

• 信頼カテゴリへのアプリケーションのアトリビューション。
• 他のプロセス、データ、ネットワークなどを開始および操作するアプリケーションの機能のルールベースの制御。
• アプリケーションの監視。アプリケーションが悪意のあるアクティビティ（他のアプリケーションの制御、レジストリエントリの変更など）を示すとすぐに権限をダウングレードします。
• 起動の保護。アプリケーションのアトリビューション、制御、監視の信頼性を高めます。

アプリケーション権限は、該当する信頼カテゴリによって定義されます。アプリケーションのインベントリがホスト上に自動的に作成され、アプリケーションが信頼カテゴリに割り当てられます。Kaspersky Endpoint Security for Business （KESB）では、アプリケーションのリストがユーザーのコンピューターから管理者に配信され、管理者は独自のアプリケーションコントロールポリシーを作成できます。

信頼カテゴリへのアプリケーションのアトリビューションは、アンチマルウェアエンジン、KSNのレピュテーション、電子署名、アプリケーションの整合性チェックによって評価されたふるまいに基づいています。アプリケーションは、ホストにアンチマルウェアソリューションをインストールした後、初めて起動したとき、またはグループ内で評価されます。

信頼カテゴリは以下のとおりです。

• 信頼できるアプリケーション：OSアプリケーション（svchost、smssなど）、既知のベンダーの正規のアプリケーションで、署名と整合性が検証されているもの。
• 信頼できないアプリケーション：マルウェア。起動してもブロックされます。
• 不明なアプリケーション：アプリケーションの性質に応じて制限されます。例えば、アドウェアとして認識されたアプリケーション（まだマルウェアではない）は実行できますが、他のプロセスにコードを注入することはできません。悪意のあるアクティビティは示さないが、署名がないアプリケーションは、広範な権限を持つことになります。

最初の分類後、アプリケーションは引き続きアンチマルウェアソリューションによって監視されます。マルウェアの特徴が示された場合は、下位の信頼カテゴリにダウングレードされ、それらのアプリケーションの権限は制限されます。アプリケーションのレピュテーションは、そのレピュテーションがクラウドで最近ダウングレードされた場合に備えて、KSN経由で定期的に再確認されます。

「信頼できる」カテゴリに分類されないアプリケーションの操作は、修復エンジンによってログに記録されます。アプリケーションがマルウェアであることが判明した場合、そのアプリケーションで実行された変更を修復エンジンがロールバックします。

アプリケーションコントロール

アプリケーションを起動する機能は、その信頼カテゴリによって定義されます。

カスペルスキー インターネット セキュリティ（個人ユーザー向け）では、ユーザーがホスト上のアプリケーションブロックを微調整し、そのモードを選択できます。

• 自動モードでは、信頼できないアプリケーションは自動的にブロックされます（ブラックリスト）。
• デフォルト拒否モード（ホワイトリスト）では、信頼できるアプリケーション（PE32ファイル、.Net実行可能ファイル、インストーラー、その他の形式）のみが起動され、他のアプリケーションは常にブロックされます（再起動中やOSの更新中を含む）。
• 手動モードでは、特定のアプリケーションをブロックするかどうかを初回の起動時にユーザーが決定できます。

Kaspersky Endpoint Security for Businessでは、アプリケーション、実行可能モジュール（PEファイル、exe、scr、dll）、各種インタープリタで実行されるスクリプト（com、bat、cmd、ps1、vbs、js、msi、msp、mst、ocx、appx、reg、jar、mmc、hta、sys）の起動をブロックするポリシーを管理者が設定できます。この場合、管理者がアプリケーションのインベントリをユーザーのコンピューターに作成し、メタデータ（ベンダー、証明書、名前、バージョン、インストールパスなど）のリストを受け取ります。新しいアプリケーションが後でホストに表示される場合、これらもインベントリに登録されます。

アプリケーションは自動的に階層カテゴリ（ゲーム、オフィスアプリケーション、ブラウザーなど）にグループ化されます。カテゴリは、管理者がアプリケーションの起動ポリシーのグループを作成するのに役立ちます。ユーザーグループの場合、特定のアプリケーション、アプリケーションカテゴリ、特定の条件（例：KSNクラウドの評価が低い）に該当するアプリケーションの起動を管理者がブロックできます。

アプリケーションコントロールでは、インベントリの結果に基づいてルールを作成するウィザード、カスペルスキーが推奨する事前定義されたルール、信頼できるソース（ファイルの場所または参照コンピューター）に基づいて動的に更新されるホワイトリストのルールなど、ホワイトリストのルールの初期設定を簡素化するツールも複数用意されています。

ユーザーは、KESBインターフェイスから、アプリケーションを起動するための管理者権限を要求できます。管理者は、正規のアプリケーションのブロックを回避するために、テストモードでブロックルールを有効にできます。テストルールは、アプリケーションの起動に影響しませんが、管理者にはトリガーが通知されるため、不要なアプリケーションの起動ブロックを特定したり、提案されたルール（または完全な起動制御機能）をネットワーク上でテストしたりできます。

HIPS

アプリケーションの信頼カテゴリでは、起動する機能の制御に加えて、アプリケーションの権限（ホストシステムでアプリケーションが何ができるか）を定義します。権限の制御はルールベースであり、ホームユーザーまたはビジネスソリューションの管理者が変更可能な「すぐに使用できる」ルールのセットが事前に定義されています。

ルールでは、信頼カテゴリごとに、アプリケーションの以下の機能を定義します。

• ファイル、レジストリキーの変更（読み取り、書き込み、作成、削除）
• ネットワーク接続の確立
• Webカメラとマイクのアクセス（信頼できるアプリケーションの場合も厳しいルールが適用されます）
• システム操作の実行（例：プロセスを開く、Windowsをシャットダウンする）マルウェアは、システムの操作を使用することで、他のプロセスのメモリやOSの操作を妨害したり、コードを注入したりできるため、システムの操作を制御することが重要になります。

各ルールは、影響を受けるアプリケーションカテゴリ、制御する動作、その判定（「許可」または「拒否」）を定義します。個人ユーザー向けのソリューションでは、判定を「ユーザーに求める」こともできます（ユーザーが判断を求められ、その判断がキャッシュされます）。

安全なコンテナー

専用のHIPSルールのセットを使用すると、安全なコンテナーでプロセスを実行できます。これにより、信頼できるアプリケーションであっても、このプロセスへのアクセスは厳しく制限されます。スクリーンショットのブロック、クリップボードの保護、悪意のあるインジェクションからプロセスを保護する整合性制御など、制限を追加することもできます。これにより、すべてのアプリケーションの内部データ（ユーザーの個人データを含む）が安全に保たれます。このHIPS手法は、ネット決済保護（Safe Browser）モードの中核になります。

OS起動保護

OSの起動時に、信頼できないアプリケーションはすべて完全にブロックされ、残りのアプリケーションも制限されます（例：ネットワークアクセスがブロックされます）。これにより、コンピューターの起動中に攻撃が発生する可能性を減らすことができます。