組み込み機器向け
ホワイトリスト型
セキュリティ製品 WhiteSec

組み込み機器に特化したwhiteSecが機器の性能を保持させたままマルウェア対策を行います。


「WhiteSec」は従来のマルウェア対策製品のようなウイルス定義を使用しない、ファイルの更新が困難な組み込み機器や閉域網でのマルウェア対策に最適なホワイトリスト型のセキュリティ製品です。




導入対象機器例
POS端末ATMKIOSK端末医療機器ロボット検査装置家電ゲーム機工場の制御装置


TeamPoS7000モデルM220
TeamPoS7000モデルC220
TeamPoS7000モデルA220

富士通製POSシステム「TeamPoS7000シリーズ」に対応

「WhiteSec」は、最小限のハードリソースで動作する組み込み機器に特化したマルウェア対策製品のため、POSシステムとの相性が良く、富士通製POSシステム「TeamPoS7000シリーズ」にも対応しております。


現在の組み込み機器システムのマルウェア対策レベルは、ウイルス対策ソフトウェア普及前の2000年頃のPC(パソコン)と同等?!

従来の組み込み機器は外部ネットワークから遮断された閉域網で運用されていたため、セキュリティリスクが低く、セキュリティ対策もほとんどされていませんでした。そのような状況のなか、昨今ではIoT(Internet of Things:様々なモノをインターネットにつなげること)が普及し完全な閉域網が少なくなり、組み込み機器は十分なセキュリティ対策がされないままマルウェア感染のリスクにさらされるようになりました。あわせて、USBメモリや外部から持ち込んだパソコンを感染源としたマルウェア感染も後を絶たず“組み込み機器 = 閉域網に構築されているから安全”という方程式は成り立たなくなっています。

組み込み機器のマルウェア被害

case1
マルウェア「Mirai」によるDDos攻撃(※1)
リモートで製品出荷時のデフォルトパスワードを使った侵入・攻撃。マルウェア「Mirai」に感染した機器はDDos攻撃を行うボットとして、サイバー犯罪の踏み台となってしまった。
中国の電子機器メーカーはこのマルウェア感染を受け防犯カメラのリコールを実施。

case2
マルウェア「BrickerBot」によるディスク消去
リモートで製品出荷時のデフォルトパスワードを使った侵入・攻撃。マルウェア「BrickerBot」に感染した機器はディスクを消去され復旧できない状態になってしまった。
機器の使用が不可能になったため、業務が停止。


case3
マルウェア「WannaCry」によるファイル暗号化
ファイル共有プロトコル「SMB」の脆弱性を利用されネットワーク経由で受ける攻撃。マルウェア「WannaCry」に感染した機器のファイルは暗号化されてしまった。
工場、病院、販売システムが感染し業務が停止。更に重要ファイルを暗号化され、莫大な身代金を支払うことに。

※1:多数の機器から標的に大量のパケットを送信し、処理負荷をかけることでサービスを停止させる攻撃

進化したマルウェア攻撃の脅威

最近のマルウェアには、上記の様に初期パスワードや既知の脆弱性を狙い攻撃するだけでなく、未知もしくは未公表の脆弱性を狙い攻撃するもの(ゼロデイ攻撃)も出てきています。こうした新種・亜種のマルウェアにはパスワードの変更やパッチの適応といった従来の対応では効果が無く、マルウェアに特化した対策が必要になります。



組み込み機器に必要なマルウェア対策

セキュリティ・バイ・デザイン

「セキュリティ・バイ・デザイン」とは

“運用フェーズに入ってから後追いで実施するのではなく、企画・設計段階から製品のセキュリティ確保する”という内閣サイバーセキュリティセンター(NISC)を中心に提唱されている方策を「セキュリティ・バイ・デザイン」といいます。“何を守るべきか”、“どのような脅威が想定されるか”、“どのようにセキュリティを確保するか”を製品の設計段階から検討し製品に取り入れることで、従来の様なセキュリティインシデントが発生した際の対症療法的な後手の対策ではなく、セキュリティインシデント自体を予防するなどの先手を取ったセキュリティ対策が可能になります。

組み込み機器で「セキュリティ・バイ・デザイン」が重要な理由

POS端末やATM、医療機器、家電、ゲーム機などの組み込み機器は、パッチ適用や設定変更といった出荷後のセキュリティ対応がPCやサーバに比べ困難です。そのため、組み込み機器は、出荷される時点で未知のものを含めた将来発生しうるセキュリティリスクに対処できる状態でなければならず、出荷前の企画・設計の段階からセキュリティを考慮する 「セキュリティ・バイ・デザイン」が重要になります。


WhiteSecが実現するマルウェア対策

複数の手法を組み合わせたマルウェア対策


ホワイトリストを用いたプログラム実行制御

「WhiteSec」はホワイトリストに登録されたプログラムのみを実行します。許可されたプログラム以外は実行不可能なため、新種・亜種のマルウェアも防御可能になります。また、プログラムの事項制御は実行許可リストとのマッチングのみのためリソース負荷が低いことも特長です。





■ブラックリスト型とホワイトリスト型の違い
パソコンで一般的に利用されているブラックリスト型マルウェア対策とホワイトリスト型マルウェア対策では以下の違いがあります。

ブラックリスト型ホワイトリスト型
実現方式既知のマルウェアの特徴(パターン)を定義ファイルとして持ち、定義ファイルのパターンと一致するプログラムが存在しないかチェック実行を許可するプログラムの一覧を定義ファイルとして持ち、プログラムを実行するときにそのプログラムがホワイトリストに登録されているかチェック
定義ファイル既知のマルウェアの特徴(=ブラックリスト)定義数は数千万件実行を許可するプログラムの一覧(=ホワイトリスト)定義数は1万件程度
定義ファイルの作成
Good セキュリティベンダが提供
機器に合わせてユーザーが作成(自動作成が可能)
定義ファイルの更新毎日必要
Good 不要(アプリ更新時のみ必要)
インターネット接続必要
Good 不要
性能動作が重いので機器への負荷は高い
Good 動作が軽いので機器への負荷は低い
新種・亜種の検知不可
Good 可能

機器のリソースへの負荷が軽く、インターネット接続も不要なホワイトリスト型マルウェア対策が組み込み機器には向いています。



デバイス制御

「WhiteSec」は、USBメモリや外付けHDD、CD-RWなどのデバイスへのアクセスを禁止することでマルウェア感染を防ぎます。
デバイスの読み込みは許可するがデバイスへの書き込みは禁止するといった設定も可能なため柔軟に運用できます。



メモリ保護

「WhiteSec」は、プログラム実行時にメモリ領域の整合性をチェックし、バッファオーバーフローの脆弱性を利用した不正なコードの実行を防ぎます。
この機能はホワイトリストに登録されている正規のプログラムに脆弱性が発見された場合のリスクを低減します。












機能対応表

組み込み機器に搭載しているOSの種類により使用可能な機能が異なります。詳細は下記の機能対応表をご確認ください。

機能詳細Windows版Linux版
実行制御ホワイトリストによる実行制御ホワイトリストに登録されているプログラム以外は実行を拒否 / WhiteSecに登録されているプログラムの書き込みを保護
信頼パスによる実行制御指定した順番でプログラムを起動したときのみ、プログラムの実行を許可
アクセス制御ACLによるアクセス制御ACLのアクセス制御ルールにより、ファイル / ディレクトリのアクセスを制御(読み取り/書き込み/削除/プロパティの変更)
メディア制御デバイス制御USBメモリ、外付けHDD、CD-RWなどデバイスへのアクセスを制御(読み取り/書き込み/削除/プロパティの変更)
信頼パスによるデバイス制御指定した順番でプログラムを起動したときのみ、デバイスへのアクセスを許可
メモリ保護不正なコードの実行制御バッファオーバーフローなどの脆弱性を利用した不正なコードの実行を防御
自己保護インストールフォルダ保護WhiteSecをインストールしたフォルダへのアクセスを拒否
モジュール保護WhiteSecドライバモジュールのアンロードを拒否
システム更新支援例外プログラム権限特定のシステム更新プログラムに権限を付与して制御を迂回できるようにする / 特定プロセスによって作成された実行ファイルを自動でホワイトリストに登録
アプリインストールモードアプリケーションをインストールするときに、モードを変更することで、WhiteSecの制御を無効化し、作成された実行ファイルを自動でホワイトリストに登録


機器性能を保持したまま実施するマルウェア対策


組み込み機器向けのコンパクトな設計

「WhiteSec」は、組み込み機器に特化したマルウェア対策製品のため、最小限のハードリソースで動作するよう設計されています。


■Windows
メモリ25MBの空き
HDD等10MBの空き
インストールモジュール6MB
■Linux
メモリ2MBの空き
HDD等2MBの空き
インストールモジュール500KB


プログラムの起動を遅延させないOSセキュア技術

一般的なホワイトリスト型では改ざん検知時にファイルのハッシュ計算が必要になり、特にプログラムが多数起動されるOS起動時には機器の性能劣化が発生しがちです。一方、「WhiteSec」は、ホワイトリストに登録されているプログラムをセキュアOS技術で保護しているため、プログラム実行時の改ざん検知は必要がなく、性能劣化が大きい機器起動時でも、劣化の影響を数パーセントに抑えることが可能です。




柔軟なサポートが付いたマルウェア対策


販売終了後5年間のサポート

メジャーバージョン販売終了から5年間、該当バージョンをサポートします。さらに販売終了6年目以降もオプションで個別延長をサポートします。






個別修正パッチの提供

お客様環境で発生している不具合のみ修正した個別パッチを提供します。このパッチにより不具合修正のためのバージョンアップが不要になります。


動作環境

Windows版エージェントLinux版エージェント
CPUx86, x64アーキテクチャx86, x64, ARMアーキテクチャ
RAM25MB以上の空き容量2MB以上の空き容量
HDD/SSD/ROM10MB以上の空き容量※ログ容量を除く2MB以上の空き容量※ログ容量を除く
OSWindows XP Embedded (32bit, 64bit),Windows Embedded 2009 (32bit, 64bit),Windows Embedded 7 (32bit, 64bit),Windows 10 IoT (32bit, 64bit)組み込みLinux※お客様環境に合わせたポーティングを実施して提供

パンフレット・資料

パンフレット・資料名
 【Windows 版】WhiteSec パンフレット 
 【Linux 版】WhiteSec パンフレット 
 ランサムウェア対策製品「WhiteSec」(一枚提案書) 

Get Adobe Reader上記のファイルはPDF形式で作成されており、ご覧になるためにはAdobe Acrobat Readerが必要です。Acrobat Readerをお持ちでない場合は、左の"Get Acrobat Reader"アイコンをクリックしてください。

ページの先頭へ