編集部からのお知らせ
ZDNet Japanが新しくなりました!
New! 懸念高まる産業機器のセキュリティ

ウォッチガード、最新サンドボックス技術を実装したUTMアプライアンスを提供開始—中堅・中小企業向け標的型攻撃対策

ZDNet Japan Ad Special

2014-04-24 14:00

[PR]ウォッチガードがこのほど提供開始したAPT対策製品を紹介する。中堅中小企業でも導入しやすい低価格、最新の検知技術などが特徴だ。

 これまで標的型攻撃(APT)対策製品といえば大手企業向けがほとんど。中堅中小企業にとっては、コスト高と管理者の不在がネックになり、対策の必要性を感じながらも手が出せないのが実情だった。しかし、この流れは今後、変化しそうだ。その理由となるが、中堅中小向けUTMアプライアンス製品でトップシェアのウォッチガード・テクノロジー(以下、ウォッチガード)が提供を開始した、クラウドベースのサンドボックス技術のAPT(Advanced Persistent Threat)対策機能である。

UTMのオプション機能として提供する中小企業向け"サンドボックス"技術

 APT攻撃は、未知の脆弱性を悪用するなど、非常に高度な攻撃手法を用いることが特徴だ。2012年前半ごろまでは、政府や国防機関、社会インフラ企業などをターゲットに重要情報の窃取を目的とした攻撃が数多く観測されていたが、2013年後半から潮目が変わった。中小企業や個人を標的にした攻撃が目立つようになり、これまで無関係と思われていた企業でも対策の必要性が叫ばれるようになったのだ。

 ウォッチガードでは「社員数が250名以下の企業に対する攻撃が、このところ急増した」と指摘している。中小企業はセキュリティ対策に大企業並みの予算を割けず、専任のセキュリティ担当者もいないのが一般的だ。そこで攻撃者は対策が行き届いていない中小企業を狙い、取引先となる大手企業などへの攻撃の「踏み台」にする事例が増えているというのだ。

 踏み台というのは、取引先の大手企業の氏名や所属部署、メールアドレスなどを入手し、それを糸口として大手企業にフィッシングメールを送るといったことだ。中小企業の社員の名を騙ったマルウェア付きメールを送れば相手が開封する率が高くなる。中小企業が狙われやすくなった背景には、脆弱性を悪用するためのツールが出回り誰でも簡単に攻撃に加担できるようになったこともある。

 とはいえ、大手向けAPT対策製品は高価であり、使いこなすためのスキルも必要だ。実際には、中小企業はAPT攻撃に対して無防備だったと言ってよい。UTMのようなかたちで、中小企業でも簡単に利用できるAPT対策製品が切望されていたのだ。

 米ウォッチガードは4月初旬に発表を行い、大きな反響があった模様だ。特に、APT専用機ではなく、UTMの追加機能として提供できる点、最近のAPTの傾向である"回避型脅威"に対応している点が評価されたという。

エミュレーション型サンドボックスで最新の"回避型脅威"に対応

 UTMに機能追加として提供することのメリットは、さまざまな脅威に1台のUTMで多層的に対応できるため、費用対効果が高いことにある。UTMに備わるAPTに関連するセキュリティ機能は大きく8つ。具体的には、ファイアウォール/VPN、ゲートウェイアンチウイルス、レピュテーションセキュリティ、アプリケーション利用の可視化と制御、IPS(不正侵入検知・防御)、スパムブロッカー(迷惑メール防止)、URLフィルタリング、そして、今回加わったサンドボックス機能となる。


中堅中小企業向けのオールインワンソリューションとして提供される。
「機能面もそうだが、圧倒的に低価格で利用できるのが強み」(ウォッチガード)という。

 同社のUTMは、提供する各機能について各分野のテクノロジベンダーと提携し、ベストオブブリードの技術を搭載することが特徴だ。たとえばIPSやアプリケーション制御については、業界で評判の高いトレンドマイクロの技術を採用する。また、URLフィルタリングはWebsense、DLP(情報漏洩防止)機能はソフォスといった具合だ。各機能は、連携して動作させてもパフォーマンス劣化が最小限に抑えられるアーキテクチャを採用しており、また、ポリシーベースの管理コンソールで一元的に管理することが可能だ。

 そして新たに加わったAPT対策機能が「APT Blocker」である。これは、マルウェア分析システムのAnubisを開発したラストライン(lastline)社が提供するマルウェア検知技術。クラウドベースで提供され、フルシステムエミュレーションとよばれるサンドボックス環境下で、回避型のマルウェアの脅威を検知できることが大きな特徴となっている。

 回避型のマルウェアは、サンドボックス環境であることを検知して自らをスリープして検知を逃れたり、送信するパケットをカプセル化、暗号化して、検知を逃れたりするような動作を行う。英語では「Evasive Threats」などと呼ばれており、最新のAPT攻撃によく見られるものだという。通常のサンドボックス技術が、マルウェアが行う通信やファイルへの書き込み、レジストリの改竄といった「振る舞い」だけを判断するのに対し、APT Blokcerは、プロセスのスリープや暗号化などの回避的動作を、CPUやメモリにどんな内容が展開されるかをスキャン(コードエミュレーション)して判断する。このため、検知精度が高く、スリープかアクティブかにかかわらず検知することが可能なのだ。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]