チェック・ポイント・
ソフトウェア・テクノロジーズ
システム・エンジニアリング本部
セキュリティ・エキスパート
宮川淳一氏

　「ONE STEP AHEAD」。高度なサイバー攻撃の一歩先を行く──。これが、チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）が掲げるスローガンだ。同社は、巧妙化する攻撃に対して「検出」ではなく、「防御」の必要性を強く訴求している。

　チェック・ポイントの調査によると、2014年に起きた標的型攻撃は前年比で42％増加しており、組織における未知のマルウェアのダウンロード件数は1時間あたり106回にも上るという。また、そのうち40％は未知のものであり、日々、20万もの新しい脅威が生まれているという。

　こうした状況に対応するため、チェック・ポイントが用意するのが「SandBlast」である（図表1）。従来型のセキュリティ製品では対処が難しい、未知のマルウェアやゼロデイ攻撃、標的型攻撃を防御するソリューションだ。

　従来のセキュリティ製品は「攻撃を検出する」ことを主眼としていたが、攻撃者は絶えず新しい検出回避手法を編み出してくる。そのため、従来型のサンドボックスだけでは検出を回避されることがある。「例えば、仮想環境ではマルウェアの動作を停止させたり、攻撃の実行を遅らせたりするものや、様々なOSのバージョンに対応する亜種などがある」と、システム・エンジニアリング本部 セキュリティ・エキスパートの宮川淳一氏は説明する。

　そこで、SandBlastの機能の1つであるサンドボックス技術「Threat Emulation」は、一般的なOSレベルのエミュレーションを行うだけでなく、CPUレベルのエクスプロイト検出を行う独自技術を備えている。OSレベルのサンドボックスでは、悪意ある実行コードが動いてからしか検出できないが、CPUレベルのサンドボックスであれば、エクスプロイト自体を検出するため、悪意ある実行コードが動く前に防御できるのだ。「日々、20万もの亜種が生まれているが、CPUレベルのエクスプロイトをキャッチする場合は数百種類に限定することができる」と宮川氏は話す。

図表1　高度なサイバー攻撃の一歩先を行く Check Point SandBlast

添付ファイル無害化で感染を予防　「うっかり開いても大丈夫」

　SandBlastにはもう1つ、二段目の防御機能がある。悪意のあるファイルを無害化する「Threat Extraction」だ。メールで受け取った文書ファイルを再構築して無害化し、遅延なしでエンドユーザーに届けるというものだ。これによってエンドユーザーはマルウェア感染などの心配を持たずに添付ファイルを開けるようになる。予防的な保護と、攻撃の試みを可視化できるのが利点だ。

　具体的には、文書ファイルを強制的にPDF化する方法と、オリジナルファイルのままJavaScriptやハイパーリンク、マクロといった、攻撃に利用される可能性があるオブジェクトを取り除く方法の2つがある。いずれの場合も、Threat Emulationで併用して検査しておき安全と判断すれば、元のファイルをダウンロードできる。

　Threat Extractionが特に効力を発揮するのは、企業の人事部やマーケティング部など、不特定多数の相手からメールを受け取るような部門だ。「技術的には全社導入することが可能だが、利便性を考え、限定的なワークグループからスタートすることをお勧めする」と宮川氏は語る。

SSL通信検査の要求に対応　最適な機器を選ぶツールも用意

　もう1つ、最近のセキュリティ対策で厄介な問題がある。SSL通信の増大だ。HTTPSを利用するWebサイトが増えており、米グーグルの調査では、Webアクセスの38％以上はSSL（HTTPS）経由だという結果が出ている。このSSLトラフィックを検査するには、高い処理性能が求められる。

　チェック・ポイントは、こうしたトレンドに対応するため、SSLトラフィック検査の処理性能を高めた「23000アプライアンスシリーズ」と「15000アプライアンスシリーズ」を2016年2月に発表した（図表2）。ハードウェアでSSLトラフィックの検査を行うには、SSLを複号化しペイロードを確認して暗号化する機能を備える必要がある。そのため「23000/15000アプライアンスシリーズは、チェック・ポイントにとってもチャレンジングな製品」（宮川氏）だという。

図表2　次世代セキュリティ・プラットフォームに求められる条件

　例えば15600アプライアンスは、HTTPSの検査を行い、セキュリティ機能をすべて利用する場合でも1Gbps以上のパフォーマンスを発揮できる。従来機がHTTPの検査を行う場合よりも高速な処理ができるのだ。

　この新製品を含め、チェック・ポイントは多くの製品ラインナップを揃える。そのため、ユーザー企業にとって、本当に必要なスペックを備えた機器はどれなのかという疑問が生じることがある。そこで同社は、企業規模や必要な機能に応じてスループットなどを計測して最適な機器を選択できるサイジングツールを用意している。「カタログスペックだけでは、販売パートナーもどの機器がお客様にとって良いのかはわからない。サイジングツールを利用することで、チェック・ポイントの指針に基づいた最適な製品を提案できるようになる」（宮川氏）。

すべての機器を一元管理　定期的なレポート出力も可能

　また、チェック・ポイントはセキュリティ製品導入後の運用管理にも力を入れている。「お客様にとってはセキュリティ機器を導入してからがサイバー攻撃との本当の戦いになると考えている」と宮川氏は力強く話す。

　ユーザー企業が運用管理において最も課題とするのが、複数拠点を抱える場合に、すべての拠点にセキュリティのスペシャリストを配置できないという点だ。そこでチェック・ポイントでは、同社製品を一元管理できるセントラルマネジメントというコンポーネントを用意している。管理者は1つのコンポーネントの画面を見るだけで、様々な環境に設置したチェック・ポイント製品を管理できる。

　これにより、大量のログを相関解析し、重要なリスクを抽出してイベント化することで、ユーザー企業自身で何が起きているのかを確認できる。リスクを検知した場合は管理画面にアラートが示され、それをクリックするだけで、例えばボットのイベントが起きていたり、未知の攻撃が発生していることを確認できる。

　チェック・ポイントは冒頭で挙げたスローガンの通り、高度なサイバー攻撃の一歩先を行く製品群をラインナップし、それらの製品群をユーザー自身で管理するためのコンポーネントを用意することで、あらゆるサイバー攻撃を「防御」する手段を提供している。