マカフィーが2013年4月2日、次世代IPS（不正侵入防御）製品に関する記者説明会を開催した。同社は10年以上前からIPS製品を提供しているというが、標的型攻撃など進化し続ける攻撃手法に対処するため、同社のIPSも進化していることを説明した。

ちなみに「次世代IPS」とはマカフィー独自の用語というわけではない。同社マーケティング本部 シニアプロダクトマーケティングスペシャリストの中村穣氏によると、例えばガートナーでは次世代IPSの要件として以下の点を挙げているという。

・第1世代IPSの要件を網羅していること
・アプリケーションを詳細に認識し可視化できること
・単一製品だけでなく連携により得られる情報を活用すること
・コンテンツの詳細なチェックを行えること

それではマカフィーの次世代IPS「McAfee Network Security Platform」について見ていこう。

アプリケーションの可視化・制御から出口対策まで

次世代IPSの要件の1つとして挙げられたアプリケーションの可視化というと、次世代ファイアウォールを思い浮かべる人も多いだろうが、マカフィーの次世代IPSも同様の機能を備えている。

「例えば、Facebookの利用は許可するが、Facebookのゲームまでは許可したくない。IMは許可するが、IMを使ったファイル転送までは許可しない」などのコントロールを行うことができると米マカフィーのヴィネイ・アナンド氏は説明した。特定のアプリケーションをブロックしてマルウェアの侵入経路を狭められるわけだ。可視化・制御できるアプリケーションの数は現在のところ1500種類だという。

マカフィーの次世代IPSのアプリケーション可視化・制御機能の概要

セキュリティの基本は多段防御だが、マカフィーの各種製品とも連携しながら、複数の方法でボットネットやマルウェア対策が行える点も強調された。

標的型攻撃で中心的役割を担うのはボットネットだ。マルウェアに感染してボット化した社内端末が、C&Cサーバーの指令を受けながら機密情報を盗んでいくというのが、標的型攻撃の典型的パターンである。未知のマルウェアの侵入を100％防ぐのが難しい以上、出口対策としてのボットネット対策は不可欠である。

そこでマカフィーの次世代IPSでは、同社が有するC&Cサーバーのリストを使って、まずボットネットを検知。さらに、その挙動からボットを探索するヒューリスティック検知の仕組みも用意しているという。

一方、入口側――マルウェア対策についても多段防御を実現する。基本となるシグネチャベースの検知から、同社のクラウドベースのセキュリティ技術基盤「McAfee Global Threat Intelligence」と連携したレピュテーションによる検知、JavaScriptのエミュレーションによる検知などだ。

様々な方法でマルウェア検知できるという

疑わしいファイルを実際に実行してみてマルウェアかどうかを判定するサンドボックス型の検知技術については現時点ではサポートしないが、10月以降に対応予定だという。マカフィーは今年3月にValidEdge社のサンドボックス技術を取得しており、これをマカフィー製品に組み込んでいく計画だ。

なお、McAfee Labs 東京 主任研究員の本城信輔氏は、「シグネチャベースの特徴は高速にマルウェアを検知できること。一方、非シグネチャ型のサンドボックスは処理時間はかかるが、その代わりに幅広く検知できる。どれが優れているという話ではなく、いろいろ使い分けていくことが大事だ」と、マルウェア対策においては1つの方法に頼るのではなく、複数の方法を活用していくことが重要と解説している。

40GbEポート搭載のハイエンドアプライアンスが5月に登場

今回の会見では、新しいセキュリティアプライアンスについても明らかにされた。スループットが10Gbpsの「NS-9100」と、20Gbpsの「NS-9200」である。同社のIPSで初の40GbEポートを搭載したことと、価格性能比の改善が特徴とのこと。従来のハイエンド機種でスループット10Gbpsの「M-8000」と比べて、同じスループットのNS-9100は約30％低価格になっているという。国内での発売は5月の予定だ。

マカフィーのセキュリティアプライアンスのラインナップ