非シグネチャベース技術で企業を守るFireEyeが日本市場参入

吉澤亨史

2011-05-27 18:30

 マルウェア対策システムとネットワーク脅威防止ソリューションで海外において実績を持つFireEyeが日本市場に本格参入する。同社は2004年、米シリコンバレーに設立されたセキュリティ企業。その技術力や製品の性能の高さから、CIAが設立したIN-Q-TELをはじめ、Sequoia Capital、Norwest Venture Partners、ジャフコなど、多くのベンチャーキャピタルが出資している。

 特にFireEyeのソリューションが、2009年から2010年にかけて米市場で発生した大きなマルウェア問題において非常に有効であったため、2010年は前年比400%の成長を遂げており、2011年も同様の成長が見込まれるという。

 同社製品の特徴は、従来のシグネチャベースによる対策手法と異なり、「Aggressive Capture」と「Virtual Execution Engine(VXE)」という2種類の手法によって攻撃を検知し、保護する。既存の環境に容易に追加でき、管理、運用の手間も少なく、コストも抑えられることも大きな特徴であるとしている。

 日本とアジア太平洋地域(APAC)を担当するセールスディレクターのDoug Schultz氏は4月にFireEyeに入社したばかりだが、前職はFoundry Networks(現Brocade Communications Systems)であり、同社が日本で事業展開する際から関わっていたという。その後も日本と韓国を行き来しており、アジア地域に十分詳しいことから、FireEyeで日本とAPACの担当となっている。

機器内の仮想環境で脅威を実行、検証

――米市場で発生した大きなマルウェア問題とは、どのようなものでしょう?

Schultz氏 Doug Schultz氏

 「Operation Aurora」に代表されるAPT(Advanced Persistent Threat)攻撃です。以前のセキュリティ上の脅威は、そのほとんどをウイルスが占めていました。しかし、現在では企業に影響を与えるさまざまな脅威が存在し、さらに増えつつあります。ATP攻撃もそのひとつで、特定の企業や団体などを標的に、さまざまな手法によって知的財産や個人情報などといった機密性の高い情報を狙います。その手法にはゼロデイ攻撃をはじめとする脆弱性への攻撃、ウイルスドロッパーやメールをきっかけとする連鎖的なウイルス感染なども含まれます。

 感染すると、マルウェアがC&Cサーバと通信を行い、サイバー犯罪者からの指示を待機します。そしてマルウェア本体が送り込まれ、サイバー犯罪者は感染したPCを自由に動作することが可能となります。たとえば、キーロガーによって管理者のPCからIDとパスワードを盗み出し、そのアカウント情報によってサーバにログイン、機密情報を持ち出すといったことが可能になるのです。サーバ側にとっては正規のアカウントからのアクセスなので、検出できません。こういった攻撃は動作がわかりづらく、検出しづらいということも特徴なのです。

――FireEye製品が有効であった理由について詳しく教えてください。

 次世代ファイアウォール、IPS(不正侵入防御システム)、ウイルス対策、SWG(セキュアウェブゲートウェイ)といった従来の対策手法は、シグネチャベースのソリューションがほとんどで、これらの製品は“疑わしいものを検出する”ものです。ウイルスドロッパーや次々に登場する亜種など、シグネチャベースのソリューションでは検知できない脅威もたくさんあり、シグネチャ以外の対策方法が求められています。

 FireEyeは、まったく異なるアプローチによって未知の脅威に対応しています。それがAggressive CaptureとVXEです。Aggressive Captureは、ゲートウェイを通過するパケットを取りこぼしなくキャプチャし、攻撃を検知するものです。IPSと似ていますが、誤検知がほとんどなく、問題のあるものをリアルタイムかつ正確に見つけ出せることが特徴です。

 Aggressive Captureでは、企業のゲートウェイを通過するすべての通信から怪しいものを検出できます。たとえば、HTMLメールの中身もチェックすることができます。また、企業の外部から内部へ向かう通信だけでなく、コールバックやC&Cサーバへの通信など、外へ出て行くデータもチェックできます。これによって内部の感染を検出することもできるのです。

 マルウェアのデータはクラウド上の「FireEye MAX Cloud Intelligence」とリアルタイムに共有して最新のデータを参照しますが、そこにないような新種や亜種のウイルスも、VXEによって検出できます。

 VXEは、アプライアンス内に独自の仮想環境を構築し、ウェブページにアクセスしたりPDFファイルを開くなど、実際に疑わしいと思われる動作させるものです。具体的には、アプライアンス内の仮想環境でWindowsやブラウザ、PDF、Flashなどのプラグイン、アプリケーションなどをエミュレートして、その上で実行します。ウェブページやPDFが正規の安全なものかどうかは、ユーザーでは判断できません。そこで、仮想マシン上で実際に開いてチェックするわけです。もちろん、その結果もMAX Cloud Intelligenceにフィードバックされていきます。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュリティ担当者に贈る、従業員のリテラシーが測れる「情報セキュリティ理解度チェックテスト」

  2. セキュリティ

    サイバー攻撃の“大規模感染”、調査でみえた2024年の脅威動向と課題解決策

  3. セキュリティ

    従業員のセキュリティ教育の成功に役立つ「従業員教育ToDoリスト」10ステップ

  4. セキュリティ

    IoTデバイスや重要インフラを標的としたサイバー攻撃が増加、2023年下半期グローバル脅威レポート

  5. セキュリティ

    急増する工場システムへのサイバー攻撃、現場の課題を解消し実効性あるOTセキュリティを実現するには

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]