マルウェア感染PCを5分で強制排除!――ウォッチガードが自動遮断ソリューション

ウォッチガード・テクノロジー・ジャパンとSecuLynxは、未知のマルウェアに感染したPCをネットワークから自動で強制排除するソリューションを共同開発した。既存ネットワーク設計の変更が不要など、導入の容易さも大きな特徴になっている

「キーワードは“即時遮断”と“自動”の2つ」(ウォッチガード・テクノロジー・ジャパン 社長執行役員の根岸正人氏)――。

標的型攻撃の被害が拡大・深刻化するなか、ウォッチガードとSecuLynxは2015年9月16日、未知のマルウェア(ゼロデイマルウェア)に感染したPCを自動で即時遮断できるソリューションを発表した。

ウォッチガード 根岸氏 SecuLynx 清水氏
ウォッチガード・テクノロジー・ジャパン 社長執行役員 根岸正人氏 SecuLynx 取締役 清水弘氏

ウォッチガードの次世代ファイアウォール/UTM「WatchGuard Fireboxシリーズ」と、SecuLynxの不正端末検知・遮断アプライアンス「IntraPOLICE II」を連携させたソリューションで、10月15日から提供を開始する。

IntraPOLICE IIの概要
IntraPOLICE IIの概要。従業員が勝手に社内に持ち込んだPCなど、不正端末の検知・遮断が行える。また、SecuLynxは、パナソニックの社内ベンチャー制度を使って設立されたソフトウェア開発・販売会社だ

C&Cサーバーとの通信や二次感染による被害拡大に素早く対処サイバー攻撃の手口が高度に巧妙化した現在、マルウェアの侵入を100%防ぐことは不可能。侵入を前提とした対策が必要というのは、セキュリティの専門家の間では今や常識と言っていいだろう。

そこで重要なのが、「いかに早く気付き、いかに早く対処するか」(根岸氏)。今回両社が共同開発したソリューションの目的も、ここにある。

マルウェアに感染しているPCの早期発見の役割を担うのはFireboxシリーズだ。次世代サンドボックスにより未知のマルウェアを検知する。

そして、早期対処を実現するのがIntraPOLICE IIの役割だ。IntraPOLICE IIはマネージャとセンサの2つのコンポーネントから構成。Fireboxが未知のマルウェアに感染したPCを検知すると、IntraPOLICE IIマネージャにSNMPトラップで自動通知。IntraPOLICE IIマネージャは、各拠点のIntraPOLICE IIセンサに指示を出して感染PCを強制排除し、C&Cサーバーとの通信や二次感染活動を遮断する。

ウォッチガードとSecuLynxの連携ソリューションの概要

ウォッチガードの次世代サンドボックス「APTBlocker」は、Lastline社の技術を活用したクラウド型のサンドボックスで、未知のマルウェアの解析にかかる時間は「5分くらい」(同社 システムエンジニア部 プリセールスエンジニアの正岡剛氏)。

そしてFireboxで検知してから、実際に感染PCを遮断するまでは「通信遅延時間を除くと大体500ミリ秒」(SecuLynx 取締役の清水弘氏)と、5分プラスαで遮断が自動完了するという。Fireboxには、シグネチャベースのアンチウィルスやWebレピュテーションなどのセキュリティ機能も搭載されているが、これらと連携した自動遮断にもオプションで対応するそうだ。

また、IntraPOLICE IIの強制排除の仕組みだが、PCが通信を開始するときに送信するARPパケットを利用しているという。

IntraPOLICE IIの強制排除の仕組み
IntraPOLICE IIの強制排除の仕組み

続きのページは、会員の方のみ閲覧していただけます。

関連リンク

RELATED ARTICLE関連記事

SPECIAL TOPICスペシャルトピック

スペシャルトピック一覧

NEW ARTICLES新着記事

記事一覧

FEATURE特集

WHITE PAPERホワイトペーパー

ホワイトペーパー一覧
×
無料会員登録

無料会員登録をすると、本サイトのすべての記事を閲覧いただけます。
また、最新記事やイベント・セミナーの情報など、ビジネスに役立つ情報を掲載したメールマガジンをお届けいたします。