「キーワードは“即時遮断”と“自動”の2つ」（ウォッチガード・テクノロジー・ジャパン 社長執行役員の根岸正人氏）――。

標的型攻撃の被害が拡大・深刻化するなか、ウォッチガードとSecuLynxは2015年9月16日、未知のマルウェア（ゼロデイマルウェア）に感染したPCを自動で即時遮断できるソリューションを発表した。

ウォッチガード・テクノロジー・ジャパン 社長執行役員 根岸正人氏	SecuLynx 取締役 清水弘氏

ウォッチガードの次世代ファイアウォール／UTM「WatchGuard Fireboxシリーズ」と、SecuLynxの不正端末検知・遮断アプライアンス「IntraPOLICE II」を連携させたソリューションで、10月15日から提供を開始する。

IntraPOLICE IIの概要。従業員が勝手に社内に持ち込んだPCなど、不正端末の検知・遮断が行える。また、SecuLynxは、パナソニックの社内ベンチャー制度を使って設立されたソフトウェア開発・販売会社だ

C&Cサーバーとの通信や二次感染による被害拡大に素早く対処サイバー攻撃の手口が高度に巧妙化した現在、マルウェアの侵入を100％防ぐことは不可能。侵入を前提とした対策が必要というのは、セキュリティの専門家の間では今や常識と言っていいだろう。

そこで重要なのが、「いかに早く気付き、いかに早く対処するか」（根岸氏）。今回両社が共同開発したソリューションの目的も、ここにある。

マルウェアに感染しているPCの早期発見の役割を担うのはFireboxシリーズだ。次世代サンドボックスにより未知のマルウェアを検知する。

そして、早期対処を実現するのがIntraPOLICE IIの役割だ。IntraPOLICE IIはマネージャとセンサの2つのコンポーネントから構成。Fireboxが未知のマルウェアに感染したPCを検知すると、IntraPOLICE IIマネージャにSNMPトラップで自動通知。IntraPOLICE IIマネージャは、各拠点のIntraPOLICE IIセンサに指示を出して感染PCを強制排除し、C&Cサーバーとの通信や二次感染活動を遮断する。

ウォッチガードとSecuLynxの連携ソリューションの概要

ウォッチガードの次世代サンドボックス「APTBlocker」は、Lastline社の技術を活用したクラウド型のサンドボックスで、未知のマルウェアの解析にかかる時間は「5分くらい」（同社 システムエンジニア部 プリセールスエンジニアの正岡剛氏）。

そしてFireboxで検知してから、実際に感染PCを遮断するまでは「通信遅延時間を除くと大体500ミリ秒」（SecuLynx 取締役の清水弘氏）と、5分プラスαで遮断が自動完了するという。Fireboxには、シグネチャベースのアンチウィルスやWebレピュテーションなどのセキュリティ機能も搭載されているが、これらと連携した自動遮断にもオプションで対応するそうだ。

また、IntraPOLICE IIの強制排除の仕組みだが、PCが通信を開始するときに送信するARPパケットを利用しているという。

IntraPOLICE IIの強制排除の仕組み