AppGuard

この記事には複数の問題があります。改善やノートページでの議論にご協力ください。 一次資料や記事主題の関係者による情報源に頼って書かれています。（2022年11月） 独立記事作成の目安を満たしていないおそれがあります。（2022年11月） 広告・宣伝活動的であり、中立的な観点で書き直す必要があります。（2022年11月） 出典検索?: "AppGuard" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL

この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。 出典を追加して記事の信頼性向上にご協力ください。（このテンプレートの使い方） 出典検索?: "AppGuard" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL (2020年12月)

AppGuard（アップガード）とは、AppGuard, Inc.およびBlue Planet-works, Inc.が開発・販売を行っている、エンドポイント用セキュリティ対策ソフトウェア製品の総称である。

エンドポイント内の全てのアプリケーションまたはディレクトリ単位に、ポリシーと呼ばれるアクセスコントロールを設定することで、コンピュータウイルスやマルウェアを含む、不正なプログラムの実行から防御をすることを目的にしたソフトウェア製品である。その特性はホワイトリスト型ウイルス対策製品に近い概念も含まれているが、独自の特許技術を備えており、「OSプロテクト型」という新概念^[1]を提唱している。またゼロトラストセキュリティモデルの側面も持ち合わせている製品^[2]である。

エンドポイント対して詳細なMAC（強制アクセス制御）を行うことで、ホワイトリスト型ウイルス対策製品と同様にウイルスやマルウェアに対して強固な防御性能をもつことが可能となる。一種のアプリケーション・ハードニング製品であり、Linux製品で実装されるSE Linux(Security-Enhanced Linux)同様に、従来のアンチウイルス製品では検知駆除が困難な、ゼロデイ攻撃型のウイルスやマルウェアへの対策製品である。一方、従来のホワイトリスト型では課題となっていたアプリケーション単位での起動可否の設計・設定等の運用面において、利用者の負担を軽減できるような仕組み（Inheritance技術）^[3]が用いられているため、オフィス環境のエンドポイント対策としても、運用がし易い製品となっている。

製品群としては以下ラインナップとなっている（2022年1月現在）

• AppGuard Enterprise - Windows クライアントOS版（統合管理型）
• AppGuard Solo - Windows クライアントOS版（スタンドアローン管理型）^[4]
• AppGuard SBE（Small Business Edition）- Windows クライアントOS版（Enterprise同様に統合管理型であるが、従業員規模が300名以下の企業向けの製品）^[5]
• AppGuard Server - Windows サーバOS版^[6]
• AppGuard Home Edition - Windows クライアントOS版（個人向け＋スタンドアローン管理型）^[7]
• AppGuard Industrial - 産業用PC向けOSプロテクト型エンドポイントセキュリティ ^[8]

• エンドポイントにAppGuard エージェント・ソフトウェアをインストールすることで、エンドポイント内の不正なプログラムの実行に対する防御機能を発揮する。^[9]
• AppGuard におけるポリシーとは、アプリケーションまたはディレクトリ単位にアクセスコントロールによる防御ルールを設計・設定し、定義を行うものである。（ファイルパーミッションの概念に近い）
• ポリシーの設定管理は、AppGuardの管理サーバシステム群 (AppGuard Management System) にて集中管理を行い、エンドポイント内ではポリシーを管理する機能はない。
• AppGuard Management Systemで設定したポリシーをエージェントに配信することで、設定を反映する。またエージェントの通信が確立されない場合でも、エンドポイント内のポリシーにより防御機能は維持される。
• AppGuard Management SystemはMSPベンダによる共有環境のクラウド型（SaaS）での提供の他に、専有環境としてプライベートクラウド型、オンプレミス型での利用が可能となっている。
• AppGuard SoloとAppGuard Home Editionは、スタンドアローン管理型の製品のため、エンドポイント内でポリシーの設定管理を行う。（AppGuard Management System 管理サーバでの管理もできない）
• AppGuard Serverについても、AppGuard Enterprise 同様にエンドポイント（サーバOS）にエージェントをインストールして、AppGuard Management Systemでポリシーの集中管理を行う。

前述の概要でも記載しているが、AppGuardではポリシーにより防御の判断を行っている。ポリシー設計では以下3つの機能を組み合わせてMAC（強制アクセス制御）の設定を行うことで、エンドポイント上での不正プログラムの起動を阻止することができる。

１．ディレクトリ単位でプログラムの実行可否を管理

Windowsでは、システムスペースとユーザースペースという２つの概念が存在する。AppGuardでは、システムスペースは信頼できる領域として、プログラムの実行を許可する領域として定義し、ユーザースペースは信頼できない領域として、プログラムの実行を禁止する領域として定義されている。

本機能による効果：ユーザースペースにおけるドライブバイダウンロード攻撃や、ユーザーによる不正プログラムの起動を防止する。従って一般的なマルウェアの侵入経路となっている、メールの添付ファイルや、ブラウザからのダウンロード、USBメモリなどによる手法では、不正プログラムが設置されたとしても起動することは不可能となっている。　

２．アプリケーションの隔離（Isolation技術）

AppGuardのコア・テクノロジーであり「Trusted Enclave」と呼ばれる、”アプリケーションを隔離する”特許技術である。上記１．のシステムスペースで起動するプログラムにおいては、隔離設定を付与することで、レジストリ、メモリ領域、システムスペースへのアクセスが禁止される（プログラム単体の動作には影響はしない）。ウイルス・マルウェアに利用されるリスクが高い、一部のアプリケーション（MSOffice系、cmd.exe、powershell.exe等）については初期設定でこの隔離設定が実装されている。

本機能による効果：コマンドプロンプトやPowerShell操作におけるレジストリ、メモリ領域、システムスペースへのアクセスが禁止されることで、マルウェアによる他プログラムを利用した不正な起動を阻止する。

３．ポリシーの継承（Inheritance技術）

上記２．の隔離設定は、個々のプログラム（親プロセス）に適用されるが、派生する（呼び出す）子プロセス、孫プロセスにも親プロセスのポリシーが継承される。

例えば、マルウェアが実装されているpdfファイルのリンク先が記載されているフィッシングなどの不正なメールを受信した場合、以下のようなStepでの挙動が想定されるが、Step1のOutlook（親プロセス）に適用されているポリシーが、Step4のマルウェアの起動まで継承されることでマルウェアの起動を阻止することができる。

　　Step1：Outlook（MUA製品）等でメール本文内のリンク先を開く。

　　Step2：Google Chrome（ブラウザ製品）等が起動されて、pdfファイルをダウンロードを行う。

　　Step3：Adobe Acrobat Reader（pdfファイルのビューワ）等が起動されて、pdfファイルが開く。

　　Step4：pdfファイル内に埋め込まれたマルウェアが起動し、コマンドプロンプトやPowerShell操作において、不正なプログラム処理が開始される。

本機能による効果：親プロセスから派生する子プロセスや、孫プロセスなどのアプリケーション個別の登録をせずともポリシーが継承され、マルウェアから防御することができる。

Trusted Enclaves (US Patent# 7,712,143)^[11]

• 長州力（2021年 - ）^[12]

15,000社（2022年9月時点）^[13]

• 全日本空輸^[14]
• 戸田建設^[15]
• 電通国際情報サービス ^[16]
• ディーアールエス ^[17]
• ITガード^[18]

2018年1月から2020年12月までの設立3年以内で資金調達を実施した国内スタートアップランキング20社^[19]において、メーカーであるBlue Planet-worksが、累計150億円の調達でトップであった。

内閣サイバーセキュリティセンターが平成30年7月25日に発行している「政府機関等の対策基準策定のためのガイドライン（平成30年度版）」で、未知の脅威への対策としてシグネチャファイルに依存しない方式の製品の有効性が記述された（令和３年度版でも記述）。^[20]

基本対策事項 6.2.2(1)-1「既知及び未知の不正プログラムの検知及びその実行の防止の機能を有する」について （抜粋）
「シグネチャにより検知する方式以外の手法を用いる製品やサービスを導入することの重要性も高まっている。例えば、シグネチャに依存せずに OS のプロセスやメモリ、レジストリへの不正なアクセスや書き込みを監視し、不正プログラムの可能性がある処理を検知した場合には、不正プログラムの実行を防止するとともに、これを隔離する方式があり、攻撃にスクリプト等を使用するファイルレスマルウェアの対策としても効果が期待できる。」

• メーカーサイト（Blue Planet-works社）

• AppGuard, Inc. (Blue Planet-works社グループ)

• 政府機関等の対策基準策定のためのガイドライン（令和３年度版）（基本対策事項 6.2.2(1)-1 内に記述）

• ANAらが50億出資した雑居ビル発おじさんベンチャーのすごさ。常識破りのネットセキュリティ企業（Business Insider Japan 記事）

• AppGuardの機能（防御概念の説明動画：Youtubeメーカー公式チャンネル）

• 「雑居ビルから世界へ…究極のセキュリティー技術」（テレビ朝日の報道ステーションで放送されたアーカイブ動画）

表 話 編 歴 マルウェア
伝染性マルウェア	コンピュータウイルス コンピューターウイルスの一覧 ワーム ワームの一覧（英語版） コンピュータウイルスとワームの年表
潜伏手法	トロイの木馬 ルートキット バックドア ゾンビコンピュータ 中間者攻撃 マン・イン・ザ・ブラウザ
収益型マルウェア	プライバシー侵害ソフトウェア（英語版） アドウェア スパイウェア ボットネット キーロガー Web threat（英語版） 詐欺ダイヤラー マルボット スケアウェア 偽装セキュリティツール ランサムウェア
OS別マルウェア	Linuxにおけるマルウェア 携帯電話ウイルス マクロウイルス
マルウェアからの保護	アンチキーロガー（英語版） アンチウイルスソフトウェア ブラウザ・セキュリティ（英語版） モバイル・セキュリティ（英語版） ネットワーク・セキュリティ 防御コンピューティング（英語版） ファイアウォール 侵入検知システム データ損失防止ソフトウェア（英語版）
マルウェアへの対策	コンピュータサーベイランス（英語版） ボットロースト作戦（英語版） ハニーポット スパイウェア対策連合（英語版）
カテゴリ