Anand氏はNSPの特徴について「1500以上のアプリケーションやプロトコルを理解することで、それらの通信を止められる」と説明。アプリケーションを可視化することで、何らかの異常を見つけると即座に帯域を制限したり、通信をブロックしたりといったことが可能だ。どんなエンドユーザーがどんなアプリケーションを使っているかもすべて把握できる。エンドユーザーに気付かれずに外部のサーバと通信しているマルウェアの存在も検知できる。
NPSでは、ボットネットを検知するエンジンを搭載、ボットを操作するC&Cサーバの情報もデータベースとして蓄積されている。この機能で、組織内部に潜むボットを調べると同時に、C&Cサーバへの通信をつかみ、C&Cサーバからの命令を拒否するといったことができる。
多層防御に組み込む
Anand氏は単一のマルウェア検知技術では適切にできないと説明する。「マルウェアは著しい成長を遂げている。ゼロデイ攻撃やボット、APT攻撃のほかに、PDFやOfficeのファイルなどさまざまなファイルにマルウェアが組み込まれるといった形態もある。ビヘイビアやGTIなど複数の技術でマルウェアに対応する」(Anand氏)
今後も進化が予想されるマルウェアに対抗するために、McAfeeはValidEdgeのサンドボックスを活用するということだ。NSPにもサンドボックスを当然組み込む。現在McAfeeのマルウェア検知は「95%だが、ValidEdgeの技術を搭載することで99%以上になる」(Anand氏)と、より精度を高めていくと説明している。
ValidEdgeのサンドボックスはNSP以外にも、ウェブからの脅威を保護するソフトウェア「McAfee Web Protection」、クライアントPCやサーバが感染していないかどうかをリアルタイムに調べるソフトウェア「McAfee Real Time for ePO」といった製品にも組み込まれる。これは同社が主張する多層防御というアプローチからみると、必然的なものとも指摘できる。
現在、NSPは支店や拠点向けの「M-1250」「M-1450」、周辺ネットワーク向けの「M-2850」「M-2950」、コアネットワーク向けの「M-3050」「M-4050」「M-6050」「M-8000」という8モデルがラインアップされている。これに性能が10Gbpsと20Gbpsに対応する2モデルが5月から提供される。これまでのモデルは10Gigabit Ethernet(GbE)をサポートしていたが、新モデルではコアネットワーク向けに40GbEをサポートすることも発表された。