PC Maticにはなぜ独自のファイアウォール機能がないのですか/ PC Matic FAQ

PC Maticにはなぜ独自のファイアウォール機能がないのですか

More SPEED. We have a better solution than FAKE personal firewall.
アプリケーションの事前監査制度と不正侵入防止機能によって強固な不正通信防止を実現しました。
必要な通信は許可し、不必要な通信は拒絶する。利便性とセキュリティの基本です。アプリケーション自動更新機能と、クラウド上での全件事前監査制度を用いて防御しています。これは新しい概念です。これによりセキュリティソフトを導入したことによる通信不良トラブルを極力回避し、1ミリ秒でも速い通信を実現しています。そして、不正侵入および不正外部通信に対して強くなっています。この成果は、第三者評価機関で実証されています。他に聞いたことなくて当然です。PC Maticが世界で初めて実装しました。米国で「次世代エンドポイントセキュリティ」と呼ばれる所以です。

仕組みとしては、Webサービスに利用されるクラウド事業者によるVPSサービスと類似しています。一般的にはファイアーウオール装置がない状態でWebサービスがなされていますが、定期的な脆弱性検査と、最新版のへの更新で脆弱性をなくすことで安全に運用されています。PC Maticでは、以下の3つの項目で保護しています。

脆弱性対策により侵入を阻止

PC Maticは、「侵入経路となる脆弱性は根本から絶ち、パソコン性能を落とさない」というコンセプトで設計されており、ファイアウォールが行う防御にプラスして強化しています。脆弱性対策(不正侵入・不正操作)に対し、「著名アプリケーションやドライバの自動更新機能」としてセキュリティホールを排除(脆弱性対策)しています。

事前監査済の素性が知れたアプリのみ起動許可

また、PC Matic SuperShieldは、グローバル・ホワイトリスト方式を採用し、アプリケーションの素性(用途、開発元存在確認)をクラウド上で多面的に調査した上でホワイトリストへ追加しています。目的外の通信を行っているアプリケーションはスパイウェアの可能性があるとして、グレー判定またはブラックリストに追加されます。このため、悪質なアプリケーションが不用意な通信を送受信するこが困難になっています。これが第三者評価機関にて良いスコアを出している秘訣のひとつです。クラウド上でビッグデータと潤沢なCPUパワーを用いた、いくつもの新たな監査アルゴリズムで、いままでにない精度の高い調査が可能となりました。事前監査の中には、外部からの特定Portへの応答に関しどのようなアクションを行うかを調査する、クラウド上のサンドボックスもあります。

強力なブラウザ経由侵入防御プラグイン

PC Maticは、8割の添付メール経由以外の侵入経路としてある「ブラウザ経由の侵入」へ対処しています。ブラウザの自動更新機能はもちろんのこと、Firefox, Google Chromeへの広告ブロック機能、不正スクリプト阻止機能を用いて侵入を防いでいます。広告が表示されないことで、モバイル環境においても通信量削減・快適さとセキュリティ向上の一石二鳥を手に入れることができます。

ブラウザがもつセキュリティ監査機能によるダブルチェック

Internet Explorer, Egde, Firefox, Chromeは、ダウンロードしたファイルのセキュリティチェックを行う機能を実装しています。これらブラウザによる機能とPC Matic SuperShieldのセキュリティにより、二重の監査が実施可能としています。他社セキュリティ製品は、ブラウザのもつセキュリティ機能を無効にし、自らのセキュリティチェックのみとするものがあり、ダブルチェックが機能しなくなることがあります。

脆弱な箇所(侵入経路・不正操作点)はすぐに塞ぐ

PC Maticは、著名アプリケーションの自動更新機能で、セキュリティホールをすぐに塞ぎ、侵入経路を絶ちます。また万が一侵入されても発病させない事が大切です。ホワイトリスト方式のエンドポイントセキュリティで起動を阻止します。こうして何重にも防御壁を作ることで高い防御率が実現できるのです。(=軍における防衛ラインと同一の考え方)

ホワイトリスト方式のセキュリティエンジンによる新種ウイルスへの防御能力に加え、この脆弱性対策機能が米連邦政府、米四軍、州政府や大企業にて続々採用されている理由となります。ランサムウェアに感染した米サウスカロライナ州の学校区では、長年使い続けてきたセキュリティソフトから、PC Matic PROへ感染後乗り換えました。

また、Windowsの脆弱性情報や著名アプリケーションの脆弱性が共通脆弱性識別子CVEにて公開された情報等を基に攻撃を試みるゼロデイ攻撃に関しては、パソコンへの侵入を阻止するためにはすべての機能をオフにするなどを除いては対応策は少なく、水飲み場攻撃などを通じてネット利用者のパソコンへ侵入を行います。

PC Maticでも他のセキュリティ対策ソフトと同様にパソコンへの侵入を許してしまいますが、悪意のあるコードをPC Matic SuperShieldが実行を阻止するため、他社製品にはない安心安全をもたらします。ウイルスが侵入しても免疫力があるため発病しない注射がPC Matic SuperShieldだとご理解ください。

Windows標準のファイアウォールはOSの一部であるため高速動作

Windows標準のファイアウォール機能は、Windowsの非公開APIを利用し高速動作するように設計されており、通信のパフォーマンス劣化を招かない仕様となっています。Windows標準のファイアウォールは、高速だから手を抜いている訳ではなく、管理画面を起動するとわかりますが、有料のセキュリティ製品と引けを取らない防御能力と機能が充実しています。

Windows標準のファイアウォール機能の設定変更が必要な場合は、スタートメニューの「Windows管理ツール」-「Windowsファイアウォール」で、設定できます。

一般的なパーソナルファイアウォールは周辺機器との接続トラブルを起こし、防御は完全でなく、そしてパソコン性能を落としています

一般的なパーソールファイアウォールは、標準的なポート以外は全て通信遮断をしてしまうため、LAN経由での周辺機器との接続に大きなトラブルを引き起こしています。スキャナ機能などをもった複合プリンター、WiDiなど無線LANを利用したテレビやプロジェクターへの接続。必要なドライバをインストールしても、このパーソナルファイアーウォール機能によって接続が遮断され、正常に利用できなくなります。このようなお客様トラブルに、パソコンメーカや周辺機器メーカの顧客サポート部門は常に悩まされ続けています。パソコンや周辺機器の収益性が悪化している昨今においては深刻な問題です。

またパーソールファイアウォールは、インターネットに接続したパソコンが外部からJava/Adobeなど著名なアプリケーションで見つかった脆弱性やWindowsが抱える脆弱性を利用して、侵入してくるものを阻止する目的で作られています。利用者が最新版へアップデートしなかったことに起因するセキュリティホール(脆弱性)を突いて侵入してくるウイルス「ドライブバイ・ダウンロード攻撃」(drive-by download)が行われてしまうほか、インターネット回線に接続しているだけで外部から侵入されるエクスプロイト攻撃でパソコンへ侵入されてしまいます。

既存のセキュリティソフトでファイアーウオールを装備しているのにもかかわらず、ウイルスに侵入されたという経験をお持ちではないでしょうか。これは脆弱性による侵入もありますが、侵入経路としてはバックドアを持つスパイウェアが仕込まれたフリーソフトウェアをインストールしたことが一般的な原因です。PC Maticは自動更新による脆弱性対策とクラウド上での多面監査時にスパイウェアが組み込まれていないか時間をかけて調査することで、この問題に対処しています。パソコンへの侵入を許すセキュリティホール(脆弱性・スパイウェア混入)を極力排除することで、パソコンの脆弱性対策と軽快な利用を両立することに成功しています。

パソコンに導入するセキュリティ対策ソフトのファイアウォール機能は、侵入検知システムIDS(Intrusion Detection System)として機能させるものをそのように呼称しているようです。パソコン版IDSは、パソコンにインストールしているアプリケーションの既知の脆弱性やOSの欠陥をついて侵入してくる全インターネット通信を監査し、レポートを行うものです。

また、侵入防止を行うIPS(Intrusion Protection System)を装備しているセキュリティ対策ソフトもあります。これらIDSやIPSは、Windowsが通信を行う全通信パケットを2万件強の脆弱性情報をもとにソフトウェア的に監査するため、「通信速度の低下」「パソコン性能の悪化」がどうしても発生してしまいます。またIPSは既知の脆弱性に対するシグネチャによって対処するため、未知の脆弱性には対処できません。またパケットを数千通りのシグネチャで監査するため、インターネット通信はどうしても遅くなってしまいます。これはオンラインゲーム、株式取引、FX取引などにおいては致命的な事とPC Maticの開発元は考えています。

一般的なパーソナルファイアウォールは、ほとんどの不正な通信トラフィックを防御できていません

現在、犯罪集団や国家諜報機関などの高度に組織化された集団が悪質なアプリケーションを作成しています。著名なオープンソースの一見便利そうな改変版を公開し、そのアプリケーションがもつ機能の恩恵を受けることができるため、悪質なスパイウェアが仕込まれていることに気づくのは困難な状態になっています。

このため、PC Maticは全てのアプリケーションをクラウド上のサンドボックスでアプリケーションを起動させ、どのサーバと外部通信をしているか全てモニターをしています。このような集団は組織化されているため、組織として利用するサーバにはそれぞれ特徴があります。その特徴をPC Maticでは把握しており、善良なアプリケーションに突如として悪意のあるスパイウェアが仕込まれても直ぐに発見することができる仕組みが確立しています。

不正なアプリケーション(ウイルス等)は、直接通信を行うものもありますが、(http)80番ポート、(https)443番ポートを用いて、OS内蔵ブラウザの通信ソケットを用いて通信を行います。アプリケーションが利用しているのは443だから大丈夫だろうと個人が判断できるものではありません。その通信内容がどういうものなのかを解析しなければ、安心することはできません。アプリケーション層(Application Layer Gateway:ALG)監査行わない限り、安全を担保することはできないのです。従って、企業で一般的なファイアウォール装置やパソコンに装備しているパーソナルファイアウォール機能では、ほとんど不正な通信は防御できません。

防御するためには、アプリケーション層制御(ALG)を装備したエンタープライズ・ファイアウォール装置をルーターの代わりに装備し、正しいアプリケーション定義をする必要がありますが、それでも万全ではありません。一番安全なのは、限られた通信先に限られた通信プロトコルで限られたアプリケーションからの通信のみ許可する方式です。

簡単に防御するには、日本国内のIPv4アドレス帯、CDNに割り当てられたIPv4アドレスのみ利用許可をした鎖国的なルータ装置が不正利用対策には有効的です。
詳細は:鎖国ルータ

DMZセグメント上のWindows Serverは対象外です。定期的な脆弱性検査を

PC Maticは、DMZセグメント上のWindows Serverは保証対象外です。Windows ServerでIISを利用してサービスを公開する場合、プレーンな状態でなく様々なパッケージアプリケーションが実装され、それらが脆弱性を抱えることがございます。これらIIS用アプリケーションは自動更新対象外となっていますので、運用管理者様がご自身の手でWindows updateやIIS用アプリケーションの最新版を適時適用する必要があります。また、法人においては、定期的な脆弱性検査が欠かせません。ブルースター株式会社では、欧州で高い評価を得ている操作性の良い脆弱性検査ツールを年間使い放題で64,000円+税と良心的な価格で提供しておりますので併せてご活用ください。 
詳細は:脆弱性検査ツール Penetrator

戻る