10/4,5とSecurity Days Tokyo Fall 2018@JPタワーホール＆カンファレンスセンターに少し行ってきました。

www.f2ff.jp

それぞれ滞在時間は3時間くらい。講演を2,3個ずつ。

色々ブースでていましたが、自分の立場が今微妙なので、名刺交換等はスルー。

（微妙な立場についての詳細は、近いうちに書くかもしれません）

集中力ないので、人の話を聞くのは2時間くらいで限界です。。

ひとまず10月4日の1つ目に聞いた講演の備忘録。

（配られたパワポの資料ってアップしていいのか分かりません‥‥）

あとただ思ったことは所感に無責任に記録。

◆備忘録

【B2-08】エンドポイントセキュリティの新時代　〜［保護と対応］を重視するDIYで実現するセキュリティ対策〜　（株）FFRI 河原 一郎様

FFRIって会社は、少し前に株買おうかなーと思いながら一時監視していたことがありました（ただ値下がっていってる時期だったので、購入には至りませんでしたが）。

技術的な話を聞くのは今回が初めてでした。

マザーズに上場している会社。

元社名：Forteenforty Research Institution --> FFRIに上場時に変更したとのこと。

www.ffri.jp

純日本の会社でエンドポイントセキュリティの会社は珍しいと言っていました。

確かにトレンドマイクロとかマカフィーとか外資ですよね。

FFRI yaraiの紹介。

yaraiは会社が新宿矢来町に会社があったときに開発されたものだとか。

Windows7の無償サポートが2020年に切れるため（有償は2023年まで）、各社がWindows10に移行している状況とのこと。

私の会社のPCも丁度Windows7から10に移行するところです。

Windows10のアンチウィルスはデフォルトで入っているWindows defenderで大体OK。 

ただアンチウィルスソフトだと未知のマルウェアは対応できない。

そこで未知のマルウェアへ対応するのがこのソフト。

５つの振る舞い検知エンジン。

アプリケーションを脆弱性から防御するZDPエンジン、

マルウェア攻撃から防御するStatic分析エンジン、Sandboxエンジン、HIPSエンジン、機会学習エンジン（機械学習は流行ってますね）。

HIPSエンジンと機械学習エンジンで未知の脅威の振る舞いを監視するエンジン。

既知の脅威はアンチウィルスソフトの仕事。未知のウィルスをFFRI yaraiで。

未知のマルウェアの防御実績も多くあり。

総契約ライセンスも742,374（2018/03現在）とのこと。

メインは中央省庁、金融サービス、官公庁向け。

２０１８年１０月にはＥＤＲ機能がリリース予定。

◆所感

あくまでエンドポイントのセキュリティ。制御システムや、サーバに入れる感じではない。

侵入を防ぐIPSではなく、あくまで検知するIDS的な感じのようでした。

未知の脅威の振る舞いを検知する以外に根本的な手はないものか。

パターンマッチは新たなマルウェア発生ー＞対応パターンアップデート（ゼロデイ攻撃とかの危険な空白期間は生じてしまう）とイタチごっこ。

確かにFFRI yaraiのような商品は、未知のマルウェアが発生しても、ある程度の期間は検知しそうな感じのようです。

ただ大きく異なる新たな振る舞いをするマルウェアが現れたら、アップデートが必要でしょうし、時差はあるもののやはりイタチごっこには変わりないように感じました。

根本的には、新たなマルウェアを作ることがビジネスになってしまっている現状を、なんとかするしかないんでだとは思います。