チェック・ポイント・ソフトウェア・テクノロジーズは2013年9月26日、同社のセキュリティゲートウェイのベースとなるソフトウェアの最新版「Check Point R77」の説明会を開いた。このR77の新機能の目玉として、システムエンジニアリング本部 本部長の村田眞人氏がまず紹介したのは、Threat Emulationである。

Threat Emulationは、シグネチャのない未知のマルウェアを検出するための機能だ。疑わしいファイルを、隔離された仮想環境に移して実行。実際の挙動を見て、マルウェアかどうかを確認する。競合他社からは「サンドボックス」などの名前で提供されているソリューションだ。未知のマルウェアを使った標的型攻撃の脅威が増大するなか、企業の関心も非常に高まっている。

Threat Emulationの概要

村田氏はパロアルトネットワークスとファイア・アイの2社のサンドボックスソリューションとの比較も交えながら、Threat Emulationについて解説した。

Threat Emulationの大きな特徴は、「一番最初のファイルからストップできる」ことだという。マルウェアかどうかを判定するエミュレーションには「平均で60～70秒」かかり、エンドユーザーはその間、メール受信などを待たされることになるが、最初から見逃さずに防御する。一方、「パロアルトは、一番最初のファイルは検査するだけでストップできない」。また、ファイア・アイについても部分的な対応だという。

導入形態の柔軟さもポイントだ。ローカルまたはクラウドでのエミュレーションの実行という2つの選択肢を用意。さらにはチェック・ポイント製品を導入していないユーザーでも、Exchangeサーバー用のエージェントを活用することで、Threat Emulationをサービスとして利用できる。

チェック・ポイントによる競合他社との比較表

2つめの目玉は、アプライアンスのパフォーマンスを最大で50％向上させるというHyperSpectである。R77へのソフトウェアアップデートだけで、既存アプライアンスの性能を大幅にアップさせられるという。HTTPなど向けに検査エンジンを最適化。さらにCheck Point 12400以上の上位機種については、インテルのマルチスレッド技術への対応による効率化も図られたそうだ。

HyperSpectによるパフォーマンス向上。薄いピンクが従来、濃いピンクがR77へのアップデートで得られる性能

チェック・ポイントのユーザーは、R77へ無償でアップグレードすることが可能だ。