Isolation Technology

  • 信頼されるアプリケーションであれ、既に感染されている可能性が有るとの前提 (Trust but Verify)で動作します
  • 感染リスクが高い、ハイリスクなアプリケーションは起動時に「コンテナ化」しプロセスを「隔離」し、監視対象化に置きます
  • プロセスの動作範囲を限定し、通常の正常動作は可能にし、ポリシー違反の動作は、完全遮断・阻止します
  • プロセスから派生する「子」のプロセスも自動的に「隔離」 管理対象化に置き、ポリシー継承し、ポリシー違反の動作は、完全遮断、阻止します
  • ポリシー違反行為の例:不正なプロセス・メモリへのアクセス&書込み、O/Sの重要コンポーネント(System Folder, Program Folder, Registry Key等)への不正行為

従来のセキュリティ(検知型)

従来のセキュリティ技術は、過去のウイルスやマルウエア情報(脅威情報)を基に入って来るファイルを比較対象し、疑わしいものを「検知」します。過去に収集した脅威情報を基に「検知」を行う為、対応は必然的に後追いになります。 最近では、機械学習(AI)により、検知能力の向上を目指していますが、結局 脅威情報が基となっている為、未知のマルウエアやゼロデイに対して100%検知する事は理論上 不可能です。その為、多層防御を行い、また侵入された際の速やかな対応と修復・回復作業が求められます。一日あたり、100万個以上の新種のマルウエアが生成されていると言われる中、「検知」を基にした技術には課題があり、残念ながらコネクテッド・システムの安全性を十分に確保できるとは言えません。

AppGuard (革新的新概念)

一方、AppGuardは「検知型」では無い、新概念です。AppGuardは、システムの安全性を確保するために、システムが正しく動作し、機能する事で守ります。「信頼があるものでも検証する」という前提のもと、AppGuardは全てのハイリスク・アプリケーションをコンテナ化し、プロセスを監視対象化に置きます(隔離)。隔離されたプロセスは動作範囲が限定され、「適正な動作」のみを可能とし、適正ではない動作を完全に遮断・阻止します。プロセスから派生する「子」のプロセスも自動的に隔離され、同様に「適正な動作」のみが可能となります。特許取得済みの自動継承「Inheritance」技術により、親のプロセスのポリシーを継承する事により、適正(又は不正)な行為を判断します。「Inheritance」技術により、多次元的にプロセスを終始 監視し、適正な行為は可能にし、不正なプロセスを未然に阻止・遮断します。従来のセキュリティーソフトの考え方とは全く異なる「新概念」により、システムの安全性を確保し、外部脅威から守ります。

Isolation Technologyの特徴

  • 「Isolation Technology」により、プロセス・レベルで不正な行為を未然に阻止し、最新のサイバー攻撃からシステムを完全防御
  • シグネチャ、パターンマッチング、サンドボックス、振舞検知、EDR、レピュテーション、仮想コンテナ化、White list、Anti-Exploit (EMET)等の「検知」をベースにした技術では無い「新概念」
  • 1MB以下の超軽量エンジンにより、高速動作し、攻撃を未然に阻止
  • 特許取得済みの自動継承「Inheritance」技術により、最小のポリシー設定により、運用が簡素化され、運用コストの削減が可能
  • Indicator of Compromise(既に侵害されている状況)が無く、攻撃を未然に阻止し、Indicator of Attack情報が収集でき、阻止されたプロセスがどのアプリケーションから始まり、攻撃の起点をプロアクティブに特定する事が可能
  • 従来のセキュリティ製品では検知が難しい直接メモリを攻撃する脅威、ファイルレス・マルウエア、スクリプト型攻撃、武装化するドキュメント攻撃なども完全阻止。ゼロデイ、未知、既知を問わず、システムの安全性を損なう脅威より防御
appguard-inheritance

(自動継承 Inheritanceによる実際の事例)