ウォッチガード・テクノロジー・ジャパン マーケティング部の堀江徹氏（左）とシステムエンジニア部 プリセールスエンジニアの猪股修氏

　標的型攻撃に不正送金マルウェア、ファイルを暗号化して身代金を奪い取ろうとするランサムウェア──といった具合に、インターネット上の脅威は後を絶たない。特に2017年は「WannaCry」をはじめとするランサムウェアが相次いで登場し、海外のみならず複数の日本企業で被害が生じたことは記憶に新しいだろう。

　大手企業に比べてセキュリティ対策に割ける予算や専任スタッフの採用が困難な中堅・中小企業は、攻撃の標的になりやすいことに加え、金銭的な利得が得られたり、関連企業への侵入の足がかりにしやすいことから、大企業と同様にセキュリティインシデントによるリスクは高いと言える。

　ウォッチガードでは、こうした脅威から中堅・中小企業を守るべく、統合セキュリティアプライアンス「WatchGuard Firebox」を提供してきた。Fireboxは、企業システムとインターネットとをつなぐ境界部分で、ファイアウォールや不正侵入検知・防御（IDS/IPS）、アンチウイルス、標的型攻撃対策、アプリケーション制御、Webフィルタリング、スパムメール対策など複数の機能を組み合わせて多層防御を実現する統合セキュリティ製品だ。これまで、最新の脅威情報を提供するクラウドベースの脅威インテリジェンスや、パートナー企業と連携して提供するマネージド・セキュリティ・サービス（MSS）と組み合わせ、多くの中堅・中小企業のセキュリティを強化してきた。

　しかし、脅威の増加・高度化やIT環境の変化に伴い、「ネットワークレベルでの多層防御や今まで十分とされてきた対策だけでは守りきれなくなってきています」と、ウォッチガード マーケティング部の堀江徹氏は指摘する。

　例えば、セキュリティ強化を目的に広がっている暗号化通信（HTTPS）は、エンドツーエンドでの機密性を確保するものであったが、攻撃者による暗号化通信が利用されている現状では、暗号化されたトラフィックも復号化して検査する必要がある。しかし実際には、運用面や負荷面からHTTPSトラフィックの検査をするディープパケットインスぺクション機能（DPI）を無効にしている企業が多い。

マルウェアの拡散を防止する「TDR」　インシデント・レスポンスを自動化

　このように、ますます巧妙化する脅威や変化する環境に対応してユーザーを保護するには、GWでの防御に加え、より広範囲をカバーする包括的な防御が必要だ。こうした考え方からウォッチガードでは、「WatchGuard Threat Detection ＆ Response（TDR）」を2017年3月に追加した。GWを守るFireboxと組み合わせることで、社内・社外のエンドポイントも含めた統合的な多層防御を実現するものだ。

図表1　WatchGuard Threat Detection ＆ Response（TDR）の動作概要

　TDRでは、ユーザー一人ひとりが利用するエンドポイントにインストールする「WatchGuard Host Sensor」から、端末の基本情報に加え、エンドポイントでの脅威アクティビティに関する詳細データを収集する。これらを、Fireboxからのネットワーク上の脅威情報とともにクラウド基盤上に集約し、自社とサードパーティからの脅威インテリジェンスも加味しながら、相関分析・脅威評価エンジン「ThreatSync」で解析する。これにより、防御の網の目をすり抜けてエンドポイントに届いてしまった脅威も、いち早く検出する仕組みだ。

　疑わしい脅威は Host Sensorからクラウドベースのサンドボックスに情報を送信し、仮想環境上で動作させることで、本当に脅威かどうかを確認できる。また、ランサムウェア対策機能として、「Host Ransomware Prevention」（HRP）によってファイルが暗号化される前に検知し、PCが使えなくなる事態を未然に防ぐ。

　TDRでは、企業ネットワーク内の状況を、リアルタイムで一覧表示できる。もし「危険度リスクが高い」ファイルを検知すれば、そのファイルを隔離したり、特定のファイルやプロセスの実行を停止させる処理をリモートから自動的に対応させたり、他の端末に存在する実行前のファイルも同時に隔離し、社内での拡散を未然に防ぐ。またFirebox側では、悪意あるサイトとの通信をブロックして、早期対応を通じて被害を最小限に抑えられる。

　マルウェア感染などのセキュリティインシデントが発生した際、担当者が迷うのが、「どれから手をつけるべきか」ということだ。そこでTDRの管理画面には、端末ごとに「脅威スコア」が表示されるようになっている。分かりやすい指標を示すことで、「まずこの端末から対処しよう」と判断を下し、優先順位に従って対処できる。

　このように「FireboxとHost Sensor、TDRによって、エンドポイントも含めた多層防御を実現します。入口対策、内部対策、出口対策にまたがる全方位的な対策を、中堅・中小企業でも低い管理コストで簡単に使える形で提供できるのが我々の強みです」とシステムエンジニア部プリセールスエンジニアの猪股修氏は説明する。

図表2　ThreatSyncのイメージ

1つのライセンスで全機能を提供　「Dimension」で脅威状況を可視化

　もう1つ、長年に渡って中堅・中小企業から強い支持を得てきたウォッチガードならではのポイントがある。Fireboxが搭載する各種セキュリティ機能はもちろん、TDRやAPT Blockerといった高度なセキュリティサービスまで、すべてが「Total Security」という1つのライセンスに含まれていることだ。Fireboxにはモデルの対象規模に応じたHost Sensorのライセンスもバンドルされている。従って、機能を加えるたびに追加コストがかかるのではないか、という不安とは無縁だ。

　さらに、セキュリティ対策のノウハウを持ったパートナーの存在も大きな安心材料だ。中には、TDRも含めてMSSに組み入れたり、ビジネスチャット「Slack」による分かりやすい通知といったユニークなサービスと組み合わせ、企業での運用を支援するパートナーも登場している。

　MSSの中には、ウォッチガードが3年以上前から提供してきた可視化ツール「WatchGuard Dimension」を活用しているものも多い。

　近年、セキュリティ業界では「可視化」がトレンドの1つになっているが、WatchGuard Dimensionはそれを一足早く実現していた。ネットワークの利用状況やポリシー、脅威の状況などを一目で直感的に把握できるインターフェイスによって、「今、何が起きているか」を示し、企業の素早い意思決定を支援する。経営層向けのサマリーレポートや詳細な情報をまとめたレポートの出力も可能だ。

　IT環境も、脅威の姿も刻々と変化する。そうしたなか、ウォッチガードは今後も1台のアプライアンス、1つのパッケージで、真の意味でのトータルセキュリティを提供する方針を貫き、リソース不足に悩む企業のセキュリティ対策を支援していく。

ホワイトペーパーダウンロード

WatchGuard TDRによる 既知、未知、回避型マルウェアからの保護とレスポンス自動化 中堅・中小企業こそ注意しなければならない重大なマルウェアの脅威とその対策とは～限られたリソースの中で可能なセキュリティ対策を確実に実行するために～