AppGuard(アップガード)とは、AppGuard, Inc.およびBlue Planet-works, Inc.が開発・販売を行っている、エンドポイント用セキュリティ対策ソフトウェア製品の総称である。
概要
エンドポイント内の全てのアプリケーションまたはディレクトリ単位に、ポリシーと呼ばれるアクセスコントロールを設定することで、コンピュータウイルスやマルウェアを含む、不正なプログラムの実行から防御をすることを目的にしたソフトウェア製品である。その特性はホワイトリスト型ウイルス対策製品に近い概念も含まれているが、独自の特許技術を備えており、「OSプロテクト型」という新概念を提唱している。またゼロトラストセキュリティモデルの側面も持ち合わせている製品である。
基本概念
エンドポイント対して詳細なMAC(強制アクセス制御)を行うことで、ホワイトリスト型ウイルス対策製品と同様にウイルスやマルウェアに対して強固な防御性能をもつことが可能となる。一種のアプリケーション・ハードニング製品であり、Linux製品で実装されるSE Linux(Security-Enhanced Linux)同様に、従来のアンチウイルス製品では検知駆除が困難な、ゼロデイ攻撃型のウイルスやマルウェアへの対策製品である。一方、従来のホワイトリスト型では課題となっていたアプリケーション単位での起動可否の設計・設定等の運用面において、利用者の負担を軽減できるような仕組み(Inheritance技術)が用いられているため、オフィス環境のエンドポイント対策としても、運用がし易い製品となっている。
製品ラインナップ
製品群としては以下ラインナップとなっている(2022年1月現在)
- AppGuard Enterprise - Windows クライアントOS版(統合管理型)
- AppGuard Solo - Windows クライアントOS版(スタンドアローン管理型)
- AppGuard SBE(Small Business Edition)- Windows クライアントOS版(Enterprise同様に統合管理型であるが、従業員規模が300名以下の企業向けの製品)
- AppGuard Server - Windows サーバOS版
- AppGuard Home Edition - Windows クライアントOS版(個人向け+スタンドアローン管理型)
- AppGuard Industrial - 産業用PC向けOSプロテクト型エンドポイントセキュリティ
システム構成
- エンドポイントにAppGuard エージェント・ソフトウェアをインストールすることで、エンドポイント内の不正なプログラムの実行に対する防御機能を発揮する。
- AppGuard におけるポリシーとは、アプリケーションまたはディレクトリ単位にアクセスコントロールによる防御ルールを設計・設定し、定義を行うものである。(ファイルパーミッションの概念に近い)
- ポリシーの設定管理は、AppGuardの管理サーバシステム群 (AppGuard Management System) にて集中管理を行い、エンドポイント内ではポリシーを管理する機能はない。
- AppGuard Management Systemで設定したポリシーをエージェントに配信することで、設定を反映する。またエージェントの通信が確立されない場合でも、エンドポイント内のポリシーにより防御機能は維持される。
- AppGuard Management SystemはMSPベンダによる共有環境のクラウド型(SaaS)での提供の他に、専有環境としてプライベートクラウド型、オンプレミス型での利用が可能となっている。
- AppGuard SoloとAppGuard Home Editionは、スタンドアローン管理型の製品のため、エンドポイント内でポリシーの設定管理を行う。(AppGuard Management System 管理サーバでの管理もできない)
- AppGuard Serverについても、AppGuard Enterprise 同様にエンドポイント(サーバOS)にエージェントをインストールして、AppGuard Management Systemでポリシーの集中管理を行う。
防御概念
AppGuard の3つの基本機能
前述の概要でも記載しているが、AppGuardではポリシーにより防御の判断を行っている。ポリシー設計では以下3つの機能を組み合わせてMAC(強制アクセス制御)の設定を行うことで、エンドポイント上での不正プログラムの起動を阻止することができる。
1.ディレクトリ単位でプログラムの実行可否を管理
Windowsでは、システムスペースとユーザースペースという2つの概念が存在する。AppGuardでは、システムスペースは信頼できる領域として、プログラムの実行を許可する領域として定義し、ユーザースペースは信頼できない領域として、プログラムの実行を禁止する領域として定義されている。
本機能による効果:ユーザースペースにおけるドライブバイダウンロード攻撃や、ユーザーによる不正プログラムの起動を防止する。従って一般的なマルウェアの侵入経路となっている、メールの添付ファイルや、ブラウザからのダウンロード、USBメモリなどによる手法では、不正プログラムが設置されたとしても起動することは不可能となっている。
2.アプリケーションの隔離(Isolation技術)
AppGuardのコア・テクノロジーであり「Trusted Enclave」と呼ばれる、”アプリケーションを隔離する”特許技術である。上記1.のシステムスペースで起動するプログラムにおいては、隔離設定を付与することで、レジストリ、メモリ領域、システムスペースへのアクセスが禁止される(プログラム単体の動作には影響はしない)。ウイルス・マルウェアに利用されるリスクが高い、一部のアプリケーション(MSOffice系、cmd.exe、powershell.exe等)については初期設定でこの隔離設定が実装されている。
本機能による効果:コマンドプロンプトやPowerShell操作におけるレジストリ、メモリ領域、システムスペースへのアクセスが禁止されることで、マルウェアによる他プログラムを利用した不正な起動を阻止する。
3.ポリシーの継承(Inheritance技術)
上記2.の隔離設定は、個々のプログラム(親プロセス)に適用されるが、派生する(呼び出す)子プロセス、孫プロセスにも親プロセスのポリシーが継承される。
例えば、マルウェアが実装されているpdfファイルのリンク先が記載されているフィッシングなどの不正なメールを受信した場合、以下のようなStepでの挙動が想定されるが、Step1のOutlook(親プロセス)に適用されているポリシーが、Step4のマルウェアの起動まで継承されることでマルウェアの起動を阻止することができる。
Step1:Outlook(MUA製品)等でメール本文内のリンク先を開く。
Step2:Google Chrome(ブラウザ製品)等が起動されて、pdfファイルをダウンロードを行う。
Step3:Adobe Acrobat Reader(pdfファイルのビューワ)等が起動されて、pdfファイルが開く。
Step4:pdfファイル内に埋め込まれたマルウェアが起動し、コマンドプロンプトやPowerShell操作において、不正なプログラム処理が開始される。
本機能による効果:親プロセスから派生する子プロセスや、孫プロセスなどのアプリケーション個別の登録をせずともポリシーが継承され、マルウェアから防御することができる。
その他
特許技術
Trusted Enclaves (US Patent# 7,712,143)
CM
- 長州力(2021年 - )
導入企業
15,000社(2022年9月時点)
事例記事
- 全日本空輸
- 戸田建設
- 電通国際情報サービス
- ディーアールエス
- ITガード
外部評価
150億円の資金調達
2018年1月から2020年12月までの設立3年以内で資金調達を実施した国内スタートアップランキング20社において、メーカーであるBlue Planet-worksが、累計150億円の調達でトップであった。
内閣サイバーセキュリティセンター(NISC)からの評価
内閣サイバーセキュリティセンターが平成30年7月25日に発行している「政府機関等の対策基準策定のためのガイドライン(平成30年度版)」で、未知の脅威への対策としてシグネチャファイルに依存しない方式の製品の有効性が記述された(令和3年度版でも記述)。
脚注
出典
外部リンク
- メーカーサイト(Blue Planet-works社)
- AppGuard, Inc. (Blue Planet-works社グループ)
- 政府機関等の対策基準策定のためのガイドライン(令和3年度版)(基本対策事項 6.2.2(1)-1 内に記述)
- ANAらが50億出資した雑居ビル発おじさんベンチャーのすごさ。常識破りのネットセキュリティ企業(Business Insider Japan 記事)
- AppGuardの機能(防御概念の説明動画:Youtubeメーカー公式チャンネル)
- 「雑居ビルから世界へ…究極のセキュリティー技術」(テレビ朝日の報道ステーションで放送されたアーカイブ動画)
