ウォッチガード・テクノロジー・ジャパン WatchGuard XTM 最新の回避型マルウェアにも新技術で対抗 XTMだけができる“次世代型セキュリティ”

日々進化するサイバー攻撃と、それに対抗する防御策の開発──。イタチごっこが続くセキュリティ対策の世界では、最新の脅威にも対処できる新技術をいかに迅速かつ低コストに導入できるかが鍵となる。ウォッチガードは、“次世代型”のセキュリティ機能をクラウドで提供することで、大企業からSMBまで幅広いユーザーの期待に応えている。
正岡剛氏

ウォッチガード・
テクノロジー・ジャパン
システムエンジニア部
プリセールスエンジニア
正岡剛氏

 サイバー攻撃の多様化と手口の巧妙化に伴い、情報セキュリティには“次世代型”の対策が求められてきている。金銭や知的財産等の重要情報の取得を狙う標的型攻撃が増加傾向にあり、そうした新たな脅威に対抗できる技術を搭載したセキュリティ対策製品の導入が進んでいる。

 なかでも注目を集めているのが「次世代ファイアウォール」だ。これは、従来型ファイアウォールと異なり、ユーザーが利用するアプリケーションごとのトラフィックを可視化し制御する機能のこと。FacebookやDropbox等のクラウドサービス、Skype等のP2Pソフトなど、情報漏えいやマルウェア感染のリスクを増大させるアプリの利用を把握し、制御することが可能になる。

 クラウドの普及によってネットワークを介したアプリの利用が一般的になり、また多様な業務アプリを活用することが業務効率と生産性アップに欠かせない要素となった今、こうした新技術をいかに迅速かつ低コストに導入するかが課題になっているのだ。

世界中のUTMが連携して脅威を監視 危険サイトへのアクセスを未然に防ぐ


 情報セキュリティ対策への投資は、直接的に売上増や業務効率アップに貢献するものではない。したがって、企業ごとに必要な機能とパフォーマンスを備えた製品を適切に選ぶことが重要だ。当然ながら、最新の脅威に対抗できる次世代型セキュリティ機能を開発・搭載する早さと、コストパフォーマンスが製品選びのポイントになる。

 そこで、意欲的な取り組みを見せているのがUTM/NGFWベンダーのウォッチガード・テクノロジー・ジャパンだ。UTMと言えば中堅中小企業(SMB)のイメージが根強いが、前述のアプリケーション可視化・制御とIPS(不正侵入検知・防御)はもちろん、APT(Advanced Persistent Threat)攻撃に対抗する次世代型機能を同社の「XTMシリーズ」に搭載。大企業からSMBまで幅広いニーズに応える機能と製品を揃えており、「要件に合わせた機能セットをコストパフォーマンス高く導入できる」(社長執行役員の根岸正人氏)。

 最大の特徴は「他メーカーに先行する独自機能を備えている」こと。「RED:Reputation Enabled Defense」と呼ぶレピュテーション・セキュリティと、最新の“回避型脅威”にも対応する次世代型サンドボックス機能を備えた「APT Blocker」だ。

 REDとは、レピュテーション(評判)に基いて動的にWebアクセスを制御する技術だ(図表1)。URLを評価し、スコア付けした独自データベースを用いて、ユーザーがアクセスしようとしているURLを診断、危険なサイトへの接続をブロックする。マルウェア感染等の可能性がある疑わしいサイトは、アクセス前にXTMでスキャンし、問題がないものだけを表示。安全なサイトに関してはスキャンを行わずそのまま通す。つまり道路信号の役割を果たす。

図表1 RED(Reputation Enabled Defence)

図表1 RED(Reputation Enabled Defence)

 URLの評価は、世界中のウォッチガード製品から収集した情報を元に行う。システムエンジニア部・プリセールスエンジニアの正岡剛氏は、「100万台以上のXTMがセンサーの役割を果たし、ウィルスを検知すると、そのサイトの情報がクラウド上のデータベースに即座に反映される」と話す。これにより、リアルタイムにURLの信頼性を判定することが可能になる。

 このREDの仕組みは、次の2つの点でセキュリティ対策の実効性向上に貢献する。1点目は、危険なサイトへのアクセスを未然に防ぎ、未知の脅威に対するセキュリティを強化することだ。

 2点目は、XTMのパフォーマンスを向上させられることだ。「悪いサイト」はブロックし、「良いサイト」へのアクセスはそのまま通すことで、スキャンの頻度を減らしXTMの負荷を軽減、パフォーマンスを最大50%向上できるという。高度なセキュリティ機能を稼働させようとすれば当然、ハードウェアにも高い処理能力が求められるが、こうした負荷軽減の仕組みによって投資コストの抑制も可能になる。

 なお、レピュテーション機能はWebセキュリティ製品において一般的な機能だが、「ゲートウェイ、ファイアウォール製品で搭載しているのは、現時点でウォッチガードだけ。REDによって低コストに最新の対策が取れる点が評価されている」と正岡氏は話す。

サンドボックスの弱点を克服 回避型新型マルウェアも丸裸に


 とはいえ、REDでは守れない類の攻撃もある。REDはあくまでシグネチャベースの対策であり、既知のマルウェアを検知することしかできない。そこで威力を発揮するのが、もう1つの次世代機能「APT Blocker」だ。

 APT Blockerとは、常に変異し続ける最新型マルウェアの脅威に対抗するための機能である。現在のマルウェアは、識別情報等を変化させて、シグネチャベースのセキュリティ対策をすり抜けるものが増えている。特定のターゲット企業・組織に侵入し、長期間潜伏しながらスパイ行為等を繰り返すAPTでは、こうした変異型のマルウェアを用いてゼロデイアタックを仕掛けるケースが多い。

 これに抗するには、シグネチャによる既知のマルウェア検知に変わる仕組みが必要だ。APT Blockerは、ファイルの振る舞いを分析して、不正な行動を取る未知のマルウェアを検知する。メールの添付ファイル等の外部から受け取ったファイルを、クラウド上のサンドボックス(保護された領域でプログラムを動作させ、システムへの影響を防ぐ仕組み)で実行し、コードを分析して脅威を見つけ出す。

 このAPT Blockerにおいても、ウォッチガードは他メーカーに先行する新技術「次世代型サンドボックス」を採用している。従来のサンドボックスの弱点を突く“回避型マルウェア”を検知できるのが次世代型と呼ぶ所以だ。

 サンドボックスは、隔離された仮想環境上で怪しいファイルを実行するものだが、最近は、仮想環境で実行されていることを検知し、一定時間活動を停止して無害なプログラムに見せかけるタイプのマルウェアが登場している。

 次世代型サンドボックスは、こうした巧妙なマルウェアも丸裸にする。

 仮想環境ではOS・システムに対する命令は検知できるが、CPUに対する命令コードはマスキングされて、検知側からは見えない(図表2の左側)。これが従来型サンドボックスの弱点なのだが、これを克服する新技術を、ウォッチガードとパートナーシップを組む米LastLine社が開発した。ハードウェアまで含めて仮想化した環境でサンドボックス検知を行う「フルシステムエミュレーション」だ。これにより、回避的な動作も可視化し(図表2の右側)、検知することが可能になる。

図表2 次世代型サンドボックステクノロジー

図表2 次世代型サンドボックステクノロジー

 LastLine社は、情報セキュリティ業界では評価の高いマルウェア分析システム「Anubis」や「Wepawet」を開発したベンチャー企業だ。その技術を採用することで、未知の脅威に対する防御レベルを格段に向上。先に述べたREDと同様、APT Blockerもクラウド型で提供される機能であるため、XTM自体には負荷がかからないのも特徴だ。

 さらに特筆すべきは、これらの次世代型機能が、大企業向けからSMB向けまで揃うXTMシリーズの全ラインナップで利用できることだ。「REDとAPT Blockerのどちらも1つの製品で、しかも標準機能として利用できる」と正岡氏はXTMの優位性を強調する。最新機能をクラウドベースとすることで、低スペック機種でも利用が可能。大規模ネットワークのセキュリティを強化するコアソリューションとしての役割を果たすほか、そのブランチオフィスや、SMBにも次世代型セキュリティを展開しようとする企業にとって大きな助けになるはずだ。

page top
お問い合わせ先
ウォッチガード・テクノロジー・ジャパン株式会社
TEL:03-6451-0791
URL:http://www.watchguard.co.jp/
E-mail:info-jp@watchguard.com