可視化ツール「WatchGuardDimension」によるセキュリティインリジェンスも
脅威検知は、まず、ローカルにある検体のハッシュ値のキャッシュと比較して行う。キャッシュにない場合、lastline社のサーバ上のリモートキャッシュと照合し、そこにない場合にクラウド上でフルシステムエミュレーションを実行して解析するかたちだ。このため検知のスピードは速く、また、新しい脅威が発見された場合でもキャッシュへの更新を行うことで、最新の脅威にすばやく対抗できるようになっている。
また、対応ファイルも、exeやdllといった実行ファイルだけでなく、PDFやJava、AndroidのAPK、MS Officeファイルといった、Windowsの全バージョンで実行できるファイルに対応している。OSやプラットフォームのバージョンに依存しない検知が可能だという。
さらに、もう1つの大きな特徴として、可視化ツール「Dimension」と連携し、さまざまな脅威情報をビジュアルに把握できる点がある。画面は、大きく、経営層やビジネスユーザー向けの「エグセグティブダッシュボード」、セキュリティ担当者向けの「セキュリティダッシュボード」に分けられており、ニーズに応じた可視化が可能だ。また、レポート機能を利用すると、脅威がいつどこで何件検知されたかなどを可視化でき、その詳細も確認することができる。
Dimensionの「セキュリティダッシュボード」の画面
ウォッチガードによれば、「中小規模の環境では、検知の情報が多すぎて把握しきれないという声が多い」という。そこでDimensionを使うことにより、専門知識がないユーザーが簡単に脅威情報を把握できるようになるというわけだ。APT攻撃では、異変に気づくまでに時間がかかるケースもある。そうした場合は、ログをためておき期間を指定して脅威を把握することができる。
Dimensionのレポート画面。期間を指定して脅威の状況を把握できる
検知したマルウェアの詳細画面
また、Dimensionの「脅威マップ(Threat Map)レポート」という機能を使うと、IPSやファイアウォールで検知された脅威の送信元IPアドレスが多い地域や国を可視化することができる。海外拠点やビジネス上の取引がない国からの攻撃だったら、それらを国や地域ごとにブロックといった対応も簡単にできるわけだ。
Dimensionの「脅威マップ」を使って地域別IPブロックも可能
このように、APT機能が加わった"WatchGuard XTMシリーズ"は、中小企業向けAPT対策製品の本命と言ってもいいだろう。コストパフォーマンスの高さはもちろん、標準機能(無償)で提供されるDimensionという標準提供の可視化ツールを使うことで、人的リソースの不足に対応することもできる。また、各機能はOSとともにアップデートされるため、ローエンド機種からハイエンド機種まで共通して利用することができる。
中小中堅向けのレンジでは、XTM 2/3シリーズ、XTM5シリーズ、XTM800シリーズの3つのラインアップが中心となる。UTM、APT、可視化ツールの3つがセットで、初年度の保守サボート費用も含まれている。もちろん、さらに上位機種を使用して、中小企業だけでなく、多店舗でサービスを行う企業や、大企業のブランチオフィスなどへの展開でも活躍してくれるはずだ。
さらに詳しい情報については、下記からダウンロードできる「ホワイトペーパー」が参考になる。APT攻撃の最新動向や技術的な対策、事例などが掲載されているので、ぜひご覧いただきたい。