具体的には、疑わしいマルウェアを分析するサンドボックスであるが、従来のサンドボックスを回避するマルウェアも検出できるという。Lastlineによるクラウド型サンドボックスは、独自のプラットフォームによってCPUやメモリといったハードウェアまで再現できることが最大の特長。これにより、サンドボックスを検知して「loop」や「sleep」コマンドによって自身を休止状態にして回避するタイプのマルウェアも検出できる。
堀江氏は、企業が攻撃に気づくまでに平均80日かかっていることと、そのきっかけが第3者による通知で、セキュリティ製品のログが活用できていない現状を示し、ウォッチガード製品は可視化ツール「WatchGuard Dimension」が標準で付属し、無償で利用できることを紹介した。さらに、アプライアンスのコストメリットも強調、50~60人規模向けのUTMアプライアンス「XTM 3シリーズ」で48万2000円から、100~300人規模向けの「XTM 5シリーズ」で81万8000円からという価格を紹介した。
この価格は標的型攻撃対策機能を含むすべての機能を有効にした状態で、さらに初年度の保守サポート費用も含んだ価格だという。堀江氏は今回の機能追加で、UTMアプライアンスのセキュリティ機能が8つになったこと、コストメリットが高いこと、そして可視化ツールによって適切な判断を援助することを挙げ、これにより最初に挙げた中小企業における3つの課題すべてに対応できるとした。
シニアセールスエンジニア 正岡剛氏
同社のシニアセールスエンジニアである正岡剛氏は、「WatchGuard APT Blocker」をの仕組みを説明した。解析の順序としては、疑わしいファイルを検知した場合に、まずアプライアンス本体にあるキャッシュ(ハッシュ値)と比較し、該当のものがない場合にはLastlineのクラウドサービス上のリモートキャッシュと比較する。ここでも記録がない場合に、クラウド上のサンドボックスに検体をアップロードして実行し、脅威であるかを解析する。
対象となるファイルは、exeやdllファイル、Windowsのすべての実行ファイルで、PDFやJavaのほかAndroid用のAPKファイルも検査できる。正岡氏は「WatchGuard Dimension」のデモも実施、設定が容易であることやグラフィカルでドリルダウンが可能なレポート機能について紹介した。サンドボックスがなぜファイルをマルウェアと判断したかなども確認できるほか、危険な通信をIPアドレスから地域を特定し、IPアドレスリストをブロックサイトにインポートするといった作業も容易だという。
「WatchGuard APT Blocker」による回避動作の検出
