コラム

AppGuard Soloをインストールしてみた。導入してわかった動作やメリット

  • このエントリーをはてなブックマークに追加

AppGuardとは、メーカーである株式会社Blue Planet-works社が開発した、未知のマルウェアやゼロデイ攻撃を防御して、システムの安全性を維持する全く新しいタイプのエンドポイントセキュリティソフトです。

そのAppGuardは、今までにない技術を用いた新しいセキュリティ製品であるということから、多くの方に注目をされていますが、まだ実際に導入した事例も少なく、「興味はあるけど導入するとどうなる?」か疑問に思っている人も多いはず。
そこで、今回の記事では実際に中小企業向け製品である「AppGuard Solo」をインストールの手順から、導入しみてわかる動作やメリットを整理しました。

今後導入を検討している方は是非参考にしてみてください。

AppGuardの特徴

AppGuardの1番の特徴は、未知のマルウェアやゼロデイ攻撃を防御できる製品であるという点です。

従来の検知型セキュリティソフトでは、過去に発生したマルウェアを分析して、その振る舞いや特徴などの情報をもとに不審なプログラムかどうかを判別していました。これらの検知技術には定義ファイルの更新や機械学習が導入されており、それらは従来の検知型セキュリティソフトにおいて広く使われてきました。

その一方で、過去に発生したマルウェアの情報をもとにマルウェアを検知する検知型セキュリティソフトでは、未知のマルウェアやゼロデイ攻撃などのリスクに対しては、あまり効果的ではありませんでした。

しかしAppGuardでは従来の検知型セキュリティソフトでは防ぐことが難しい、未知のマルウェアやゼロデイ攻撃による不正な動作を、プロセスレベルで未然に阻止することができます。

その秘密は不審なプログラムが起動しても、システムに対して悪さをさせないという特許技術「Isolation Technology」を採用している点です。

プログラムがマルウェアであるかどうかを判別するのではなく、パソコン上で動作する全てのプログラムに対してプロセスを隔離し、もし不審な動作を行うものがあれば、それをブロックするという技術が取り入れられています。つまり、マルウェアを検知・駆除するのではなく、「発症させない」という考え方です。

また、隔離されたプロセスが起動させた子プロセスに対しても親プロセスと同じポリシーが適用されます。例えば、親プロセスとなるウェブブラウザから立ち上がったAcrobat ReaderやWordを子プロセスと捉えて、子プロセスから起動した不審なプログラムに対しても防御できます。

このようにAppGuardはこれまでの検知型セキュリティソフトとは全く違ったアプローチを取り入れたセキュリティソフトと言えるでしょう。

ここでAppGuardの特徴を簡単にまとめました。

軽量・軽快な動作 エンジンが1MB以下でとても軽量です。ハードディスクのスキャンを必要としないため、軽快に動作し業務の邪魔になりません。
アップデート不要 検知型セキュリティソフトとは異なり、定義ファイルの定期的なダウンロードやエンジンのバージョンアップが不要です。一度インストールするだけで、そのシステムの安全性を維持します。
システムの安全性の確保 特許技術「Isolation Technology」により未知のマルウェア、ゼロデイ攻撃、ランサムウェアなど不正なプロセスを完全に隔離してシステムの安全性を確保します。これにより検知型セキュリティソフトでは対応できないリスクから完全に防御できます。
簡単な操作性 ユーザーによる特別な設定操作を最低限にしています。代表的なアプリケーションのポリシーはデフォルトで設定されており、画面やヘルプは日本語で表示されています。

AppGuardの種類、EnterpriseとSoloの違い

AppGuardは従来からあった「Enterprise」と、2018年5月7日より公開された「Solo」の2つのバージョンが存在しています。

Enterprise版ではAppGuardの設定(ポリシー)をAppGuard Enterprise Management Console(AGMC)という機能で一元的に管理できます。ポリシーはネットワーク経由で各AppGuardを導入した端末(AppGuard Enterprise Agent)に配布されます。

AGMCが提供する機能は以下の通りです。

AGMCの機能

Windows Server 2008 / 2012 で動作、SQL Server 2008 以降が必要

  • Webブラウザによるポリシー作成およびイベントログ表示
  • エージェントインストールパッケージの作成
  • Policy Distribution Points(PDPs)へポリシー送信
  • Log Retrieval Points(LRPs)からのログ収集

AppGuard Enterprise Agentのシステム要件は以下の通りです。

AppGuard Enterprise Agentのシステム要件

[OSの要件]

  • Windows XP Personal SP3以上(32ビット)
  • Windows XP Home Edition SP3以上(32ビット)
  • Windows VISTA SP1以上(32ビット、64ビット)
  • Windows 7 , 8 , 8.1 , 10 SP0以上(32ビット、64ビット)

[ハードウェアの要件]

  • CPU 1.8GHz
  • メモリ 1GB
  • ハードディスク 10MB

一方、Solo版では設定はAppGuard SoloをインストールしたPCで個別に設定します。

そのためAppGuard Soloは集中管理体制を必要とせず、専任のIT管理者が少ない中小企業や個人ユーザーに最適なバージョンだと言えるでしょう。

AppGuard Soloの導入・インストール手順

ここからAppGuard Soloのインストールを順を追って説明いたします。

こんなパソコンにインストールできます

まずはじめに、AppGuard Soloを導入できるOSとインストール要件は以下のようになっています。

  • 動作できるOSは「Windows 7」「Windows 8」「Windows 8.1」「Windows 10」(32Bit and 64Bit)
  • インストール前にウィルス対策ソフトウェアを無効にする
  • インストール前にすべてのアプリケーションとユーティリティを閉じる
  • インストールを実行できるユーザーはシステムのローカル管理者権限を持つユーザー

AppGuard Soloダウンロード方法

AppGuard Soloのインストーラーファイルは、申し込みをするともらえる以下のページからダウンロードできます。

(2018年5月現在、申込書に記入して提出。その後送られてくるURLをクリックすると下記の画面が表示されます)


 
URLにアクセスすると、パスワードを入力する画面が表示されます。ライセンスを購入した時にもらったパスワードを入力して「確定」ボタンをクリックします。
 

 
AppGuard Soloダウンロードページが表示されますので、そこで「Download Now!」のボタンをクリックすると、AppGuard Soloのインストーラーファイル(AppGuardSetup.exe)のダウンロードが始まります。

AppGuard Soloインストール手順

インストーラーファイル(AppGuardSetup.exe)のダウンロードが完了したら、AppGuard Soloをパソコンにインストールしましょう。

インストーラーファイル(AppGuardSetup.exe)をダブルクリックすると、AppGuard Soloのインストールウィザードが開始されます。

「次へ」ボタンをクリックするとライセンス契約画面が表示されます。
 

 

 
「私はライセンス契約の条件に同意します」を選択して「次へ」ボタンをクリックします。
 

 

  
インストール開始画面が表示されます。「インストール」ボタンをクリックして先へ進めます。

インストールが完了すると、AppGuard Soloを有効化するための画面が表示されます。
 

 
ここでAppGuard Soloを購入したときに受け取った、「License ID」と「Password」を入力します。入力が完了したら、「Continue」ボタンをクリックしましょう。インターネット経由でAppGuard Soloの有効化作業が行われます。
 

 
有効化が成功すると「Product Activation Successful.」とメッセージが表示されます。「Continue」ボタンをクリックして先へ進めます。
 

 
これでAppGuard Soloのインストールは完了です。

インストールしたAppGuard Soloをパソコンで動作させるために、パソコンを再起動しましょう。
 

 

実際にどんな動きをするのか試してみた

パソコンにAppGuard Soloをインストールすると、タスクトレイにAppGuard Soloのアイコンが表示されます。
 

 
このアイコンをダブルクリックすると、AppGuard Soloの管理画面が表示されます。
管理画面はこのようになっています。
 

 
他のセキュリティソフトと比べれるととてもシンプルな管理画面となっています。それでは項目ごとに説明します。

保護のレベル

保護のレベルはAppGuard Soloによってシステムをどの程度保護するのかを設定する機能です。

保護 ユーザースペース内ですべてのデジタル署名付きアプリケーションの実行を許可します。スクリプトおよび未署名のアプリケーションの実行は許可されません。またアプリケーションは信頼された発行元リストで許可されたベンダーによってデジタル署名されているインストールファイルのみ許可されます。
インストールを許可 ソフトウェアをインストールまたは更新するときに使用します。
オフ AppGuard Soloのすべての保護を無効化します。

保護のレベルを「インストールを許可」あるいは「オフ」に設定すると、自動的に「保護」レベルに戻すためのチェックボックスが表示されます。

新しくアプリケーションをインストールするために一時的に保護のレベルを下げたけど、元に戻すのを忘れた、という状況を防ぐためにも、保護レベルを下げる時は「保護レベルに戻す」のチェックは有効化しておいた方がよいでしょう。

設定

AppGuard Soloの各種設定を行うための画面です。

「アラート」「ユーザースペース」「Guardedアプリ」「詳細設定」の4つの項目についてカスタマイズできます。AppGuard Soloの動作を設定できたり、動作させたいアプリケーションを登録したりできます。

アクティビティレポート

アクティビティレポートはAppGuard Soloが防御した疑わしい活動のログを確認するための機能です。不審な動作やメモリへの書き込みをブロックしたログなどが時系列で蓄積されていきます。

ソフトウェアのインストールに失敗したり、他のアプリケーションの更新に失敗したりする場合、AppGuard Soloによって動作がブロックされている可能性があります。アクティビティレポートを見ることで、動作がブロックされているかどうか確認することができます。

もし、ソフトウェアのインストールや更新がAppGuard Soloによってブロックされていたら、一時的に保護レベルを「インストールを許可」あるいは「オフ」に設定してAppGuard Soloによる保護を一時的に停止させましょう。

ヘルプ

AppGuard Soloのヘルプファイルです。HTMLヘルプ形式のヘルプファイルですが、検索機能がついていないのが残念です。ヘルプファイルの中身自体はかなり充実しているので、操作に迷うことがあったら、このヘルプを参考に解決すればよいでしょう。

インストール後のパソコンの動作は?

パソコンにインストールしたAppGuard Soloを操作してみたところ、操作性で困ったことや、動作が遅くなったということはありませんでした。GUIもわかりにくいという事はなく、設定画面で使われている言葉には専門的な単語が使われていますが、それもヘルプファイルをよく読めば理解できるようになっています。

怪しいフリーソフトなどのアプリケーションをストップする場合がある

インターネットで公開されている一部のフリーソフトを起動しようとすると、AppGuard Soloによって攻撃と判断され起動できなくなるケースに遭遇しました。

該当のフリーソフトを実行させると以下のような状態になりました。

プログラムを起動した途端にAppGuard Soloから警告が表示されます。OSからは以下のようなエラーメッセージも一緒に表示されました。
 

  
そしてアクティビティレポートにはログが記録されます。
 

 
このようにAppGuard Soloで防御されたログをActivity Reportにて確認することができます。

無害のプログラムと設定すれば使えるように

実際には無害なプログラムであるにも関わらず、AppGuard Soloによって起動がブロックされてしまった場合、該当のソフトを「Guardedアプリ」として登録する必要があります。そのための方法を紹介します。

設定画面を表示させ、「Guardedアプリ」のタブをクリックします。
 

 
Guardedアプリにはデフォルトで様々なアプリケーションが登録されていますが、このリストに動作させたいプログラムを追加することで、ブロックされてしまったプログラムを動作できるように設定します。

「プログラムを追加」ボタンをクリックすると、プログラム一覧が表示されます。この一覧の中に該当のプログラムがあればそれを選択し、一覧に表示されないプログラムを追加したい場合は、「参照」ボタンをクリックして追加したいプログラムを直接選択します。
 

 
プログラムの追加が完了したら「OK」ボタンをクリックして「プログラムの追加」ウィンドウを閉じます。

プログラムの追加が確認できたら「適用」ボタンか「OK」ボタンをクリックしてAppGuard Soloの設定として反映させます。これでAppGuard Soloにブロックされたプログラムを起動できるようになります。
 

 

導入してわかったメリット

Windows Defenderとの併用で未知のマルウェア対策が効果的

実際にAppGuard Soloをインストールしてからわかったのですが、AppGuard SoloはWindowsに標準でインストールされているWindows Defenderと共存することができます。

他の検出型セキュリティソフトをインストールすると自動的にWindows Defenderが無効化されますが、AppGuard Soloをインストールしても、Windows Defenderが無効化されることはありません。このような点からもAppGuard Soloはこれまでのセキュリティソフトとは異なっていることがわかります。

AppGuard Soloは未知のマルウェアを含むマルウェアによる攻撃からパソコンを防御することはできても、マルウェアの判別や駆除は行いません。そのため、AppGuard Soloにてマルウェアの動作がブロックされたら、マルウェアの駆除ツールとしてWindows Defenderを併用して使う事ができるのは大きなメリットです。

逆にWindows Defenderを含む他の検出型ソフトでは、未知のマルウェア対策ができませんので、お互いの良いところを組み合わせることが、さらにセキュリティを高めることにつながります。

トータル的なコストダウンに

また、AppGuard Soloは一度購入すれば、他の検出型セキュリティソフトとは異なり、定期的なライセンスの更新が不要なセキュリティソフトです。
年間のライセンス費用はかかりますが、意識しなくても未知のマルウェア対策ができ、セキュリティ担当者の負担を減らすころができる、従業員のセキュリティ教育にかかるコストを考えると、トータルで必要なコストは、他の検出型セキュリティソフトより少なくなるでしょう。

まとめ

AppGuard Soloは一度インストールすれば、未知のマルウェアやゼロデイ攻撃、そして昨年猛威を振るったランサムウェアなど、従来の検出型セキュリティソフトでは防御が難しかったリスクを、これまでとは全く違ったアプローチで防御することができるセキュリティソフトです。

AppGuard Soloに実装されている「Isolation Technology」は特許を取得済みであり、今後、他のセキュリティソフトでは同様の技術の実装は難しいと思われます。

また、AppGuard SoloはEnterprise版とは異なり複雑なポリシーの設定などが不要なので、中小企業や個人ユーザーにとっては手軽に導入できるセキュリティソフトです。定期的なライセンスの更新等も不要で、トータルコストの大幅な削減にもつながります。

今後、AppGuardの技術を利用したサービスはパソコンだけでなく、IoT機器や自動車、スマートフォンにも実装されることが予定されています。今後ますます増え続けるセキュリティリスクへの対策を検討するのであれば、まずはAppGuard Soloの導入を検討することをおすすめします。

  • このエントリーをはてなブックマークに追加