お品書き
書き直し中…
とりあえず、中へどうぞ
↓↓↓
スポンサーリンク

時代はホワイトリスト方式!…PCMatic、本当に働いてるの???

セキュリティ関係
  

「PCMatic」という、非常に動作が軽量で堅いセキュリティという触れ込みのセキュリティソフトを(お金を払って)導入してみました。

「ホワイトリスト方式」を利用しているので堅牢で軽いというわけですね。

      

ホワイトリスト方式とは、基本的に全てのソフトウェアの行動(権限)を禁止し、実行してよいリストにあるソフトだけは「動いてよし」とする方式ですね。

従来のアンチウイルスソフトはブラックリスト方式、これは定義ファイルという悪さをすると分かっているソフト等のリストがあり、そこに乗っているソフトやスクリプトを発見次第隔離すると言うもの。

今やセキュリティソフトはホワイトリスト方式のほうが最先端ということのようで、検索してみるとホワイトリスト方式がなぜ良いのか解説がたくさん出てきます。

なぜ、ブラックリスト型は限界なのか? いま「ホワイトリスト型」が必要なワケ(1) 定義ファイルベースのウイルス対策がなぜ“限界”に来ているのか?
ここ数年、国内外そして組織の規模を問わず情報セキュリティ侵害事件が相次いでおり、一向に減る傾向にない。そして厄介なことに、標的型攻撃に代表されるようにサイバー攻撃の手法はますます高度化/複雑化が進んでおり、企業は常に新たな脅威に合わせた対策が迫られているのである…
news.mynavi.jp
最近は、空港などのセキュリティもホワイトリスト方式に移行しているようです。空港のゲート(入国審査)で、「この人は良いですよ」というリストにあらかじめ載っている人だけしか入国させない、という方式ですね。(そのため、渡航前に事前に審査を受けてパスする必要がある。) 善良な人と分かっている人しか入国できないので、国内ではあまり厳しく取締等しなくても治安が保たれる、と。 ブラックリスト方式の空港では、入国者の中で「この人は悪人」というリストに載ってないかどうかをチェックしていて、載ってたら逮捕!入国させない、と言う方式ですね。 リストに載ってない悪人はそのまま入国できてしまうので、リストの更新が追いつかないと悪人をブロックできない。まだ世界で一度も犯罪を犯した事がない者は逮捕できないので、犯罪者予備軍が余りに多くなった現代では限界が来ていると言われているわけですね。 ホワイトリスト方式というのは、理論的にはそういうことだと思いますが・・・

セキュリティソフトに関しては、実際に使ってみたら、なんか違う印象でした・・・( ̄~ ̄;)

ブラックリスト方式は、入国審査だけでなく、入国した人間全ての行動を常に監視し続けているシステムであり、入国後もあやしい行動をしたら逮捕して除去くれます。(常に監視し続けているため、非常に重くなるわけです。)

ところがホワイトリスト方式オンリーのPCMaticの場合は、入国審査もその後の監視もない、と言う感じ・・・

※ただし、入国した人の全ての行動が法律で禁止されています、許可のない行動は一切許さないぞ、と。

つまり、「行動禁止」だけど、「全員フリーパスで入国させてしまう」という事ですよね・・・(-.-;)

国内ではあらゆる行動が禁止なので、悪事は働けません。悪事は実行はできませんが、悪人は国内にゴロゴロ存在している状態、ということになるわけです。。。

「トロイの木馬」というのは、巨大な木馬をプレゼントされ受け取ったら、中に潜んでいたスパイが出てきて悪さをすると言う寓話ですが

ブラックリスト方式といのは、中にスパイが潜んでいないか入国前に検査して、入ってたら逮捕拘束してしまうわけです。

ところがホワイトリスト方式は、木馬はとりあえず全部受け入れてしまいます。中にスパイが潜んでいようが毒物や爆弾が仕込まれていようがお構いなし。中に入った後も検査もなし。

ただし、その国の中には不思議な魔法が働いていて、スパイは行動できなくなってしまう。毒はその効果を失い、爆弾は爆発しなくなってしまう、と言う状態になるので、一切問題はない、というわけです。

インフルエンザが記録的大流行をしていますが、その他様々な毒やウイルス・菌など、あるいは爆発物等も、全て国内に入り放題、しかしすべて効力を発揮しない状態になっているので大丈夫です、と言うわけです。

でもそれって、その「効力を失わせている不思議な力」が失われた瞬間、国内に居るそれらの危険物は一気に毒性を発揮し、危険を撒き散らすことになるのでは・・・なんかコワイなと思うのは私だけ?( ̄m ̄;)

PCMatic、使ってみた感想は、確かに軽いのかも知れません。何も入っていない状態以上にOSの動作が軽快になるわけではないので、よく分かりませんが、少なくとも、「あ、コレ入れたら明らかに重くなった」という事は感じないですね。

逆に「何も仕事してないんじゃないか?」と言う不安が生じます。

試しにテスト用ウイルス(EICAR)をダウンロードしてみるも、そのままダウンロード・保存ができてしまいます。

ウイルス添付のメール・・・そのまま受診できてしまう。。。

その、添付されてたファイルを開いてみる⇒そのまま開けてしまう・・・Σ( ̄◇ ̄;)

どうやら、それも仕様らしいです。

 ⇒ウイルス感染したOfficeファイルを開くことができる

では、OfficeではないJavascript実行型のウイルスが添付されたファイルは・・・⇒開けてしまう(実行されたかどうかは不明)

そもそもホワイトリスト方式では、発見されていない脆弱性を狙う、いわゆる「ゼロデイ攻撃」には弱いのではないか?と言う不安がありますよね。

例えば未知の悪質な実行ファイルは実行させないとしても、ワードやエクセルはホワイトリストで実行許可が出ているわけです。そのワードやエクセル上でマクロを実行してセキュリティホールを突くようなタイプのウイルスが来た場合、そのまま実行されてしまうのではないの?と言う疑問・・・

コレに関しても、スクリプト実行については従来のセキュリティソフトと同じように対処している、という事らしいです。
 ⇒スクリプトは、ヒューリスティックで対応

もし仮に実行が成功してしまって、悪意のある実行ファイルがダウンロードされてしまったとしても、最終的に悪さをする実行ファイルが、実行できない仕様なので問題ない、という事のようです。。。

なるほど、一応、色々不安に感じる部分は全部説明はされていますが。。。。

しかし、表面上、何もしてないようにしか見えないのですが・・・ホントニダイジョブナノ?( ̄^ ̄;)

あまりにも「何もしてない感」が強くて、かえって不安感があるセキュリティソフトと言う印象・・・

例えば、従来のアンチウイルスソフトであれば、ウイルス添付のメールを受信した瞬間に「検出しますた!!」って警告メッセージが出たりしますよね?

ウイルスを保存したり実行しようとしたりすれば、その瞬間、警告が出たりしますよね?

セキュリティソフトに捕獲されてしまって、ウイルスファイルを自分のパソコン内に保存することすらできない、というのが普通。

そういう、表面的に仕事してますよ、的なアピールが、PCMaticでは一切なし。

それどころか、ウイルスファイルをそのまま保存も実行もできてしまう、メールにそのまま添付して人に送信すらできてしまう・・・

PCMaticが実行されているPCでは、悪意のある実行ファイルは一切活動できません、と言うその言葉を信じるにしても。ウイルスを保持したままにできてしまう、他の人に渡す事も可能というのは・・・。

危険なファイルは従来のアンチウイルスソフトであれば隔離されたフォルダにまとめて保存されている事が多いですが、PCMaticは特にまとめて隔離ということもないようで。

仮にPCMaticを停止したら、その瞬間から、駆除されずそのままPC内の各所に残されていた危険なファイルが活動を始める可能性がある・・・?

なるほど、分かってきました。

「何も仕事してないんじゃないか?」と言う不安が生じます、と書きましたが、実際、何もしてないって事なんですよね。

そりゃぁ軽いわけですね。

これまでの通常の(ブラックリスト方式の)アンチウイルスソフトは、常にファイルを監視しているので重くなるわけですが、それを一切してないんですから、重くなりようがない。

その代わり、ソフトを実行しようとした瞬間に、許可されていないものは実行しないように制限を掛けている。

いや、制限自体はOSの標準機能な気もします(ということはNTFS必須という事ですね、FATでは権限を設定できませんから)、やってることはホワイトリストと照合して制限を解除するだけ?

そりゃあ確かに軽いし、同時に絶対安全でもあるわけです。

☆実際は、ホワイトリストとの照合というのは、ソフトのMD5を計算してソフトが改ざんされていないかを調べているようですね。

そこで[疑わしい/不明]な場合は「SuperShield」が機能してブラックリスト方式での検証、ヒューリスティック検証を行うという、従来のアンチウイルスソフトと同じような動作をしていると説明されていますね。

なるほど、説明通りなら、よく考えられたやり方と言えるかもしれない。。。

理屈は分かりましたが・・・しかし、使ってみて、不満が二点。

ひとつは、その従来と同じブラックリスト式で「SuperShield」が機能した、と言う事が分かるような表示が一切出ない事

(あるのかも知れませんが、今のところ見ていません)

もうひとつは、実行できないとはいえ、危険なファイルをそのまま内部に置いておく事になる点。。。(駆除してくれない・・・)
試しに、他のセキュリティソフトなら速攻で削除されていたであろう、メールに添付されていたウイルスファイル何種類か、デスクトップに保存した状態で(※そもそも一般的なアンチウイルスソフトが動いていれば保存自体できないはずなんですが・・・)、PCMaticを起動してスキャンを行ってみましたが、終了してもファイルはそのまま残っています。。。 ログを見ると、置いたファイルとは関係ないところで、一件、危険なファイルが発見されたとありますが、それをインターフェース上から削除するような機能はない。場所をメモって自分で手動で削除せよ、という事なんでしょうか。。。 ファイルやフォルダを指定して、ウイルススキャンを行うような機能も用意されておりません。。。
確かに、ウイルスが置いてあっても、PCMaticが有効である限り、それらが危険になることはない、という事なのは理解できるのですが。

では、何らかの理由でPCMaticが無効になったら・・・?一気に危険因子が武装蜂起してきたりしそうで、ナニソレコワイ、というやり方とも言えるような気がしないでもないですね。。。

対して、先日別のパソコンに入れてみたSecureAPlusは、意外と良いかも?

SecureAPlusは「クラウド型」アンチウイスソフトですが、実は「ホワイトリスト型」併用なのです。

実行可能なファイルに関しては「ホワイトリスト方式」を採用していて、認証されていない実行ファイルは実行できない仕様。

プラス、その他のファイルに関しては、従来型のアンチウイルスソフトとして動作。(しかも12種類のアンチウイルスのエンジンが使用可能なため強力)

クラウド型なのでネット接続必須ですが、ネットが切断されている状態でも「ClamAV」で検査が可能。

ハイブリットですねぇ(・∀・)

※欠点と言えば、クラウド型ということで、ネットに接続されてないローカル環境では「ClamAV」だけになってしまってフル機能が使えないというところ?

うーん・・・PCMatic、(もしかしたら)堅牢なのかも知れないけれど、無効化されているとは言え、危険なファイルがそのまま放置されている状態というのは、どうも、気持ち悪いような気がするなぁ・・・気にしすぎ?

例えば、明らかにこの人は犯罪者です、他の街に行ったら間違いなく犯罪を実行する人物です、と言う人が、ウロウロ放置されている街に住んでいるような状態?

いくら、「大丈夫デス!この街にいる間は決して犯罪は行いません!」と言われても、悪人であることには変わりないわけで・・・

そんな人たちと一緒に生活していくのは、やっぱり気持ち悪いなぁ・・・と思ってしまうのですが、自分だけですかね?(-.-;)

PCMaticは気に入らなかったら一ヶ月以内なら返金してもらえるらしいので、廃止して返金してもらっちゃおうかなぁ・・・

⇒返金してもらいますた。対応はGOOD。

コメント