「後発であるがゆえに、他社より優位性のあるサービスを提供できる」。デル・ソフトウェア セキュリティ・ソリューションズ代表の藤岡健氏は、同社が新たに提供開始する標的型攻撃対策サービス「Dell SonicWALL Capture」についてこう述べる。

3つのサンドボックスエンジンで抜け道を防ぐSonicWALL Captureは、デル・ソフトウェアの次世代ファイアウォールと連携したサンドボックスソリューションだ。

まず、小規模向けの「Dell SonicWALL TZシリーズ」や大規模向けの「SuperMassive 9000シリーズ」などの次世代ファイアウォールにおいて、ひと通りのセキュリティ検査を行う。もし不審なオブジェクトやファイルが見つかれば、クラウド上のサンドボックスに転送してエミュレーションする仕組みだ。8月から提供開始予定のサービスでは、サンドボックス機能はクラウドで提供されるが、今後オンプレミスにも対応することを予定している。

Dell SonicWALL Captureの概要

「SonicWALL Captureの大きな特徴は多段サンドボックスエンジンにある」と説明するのは、デル・ソフトウェア セキュリティ・ソリューションズ SEマネージャーの安藤正之氏。複数のサンドボックスエンジンを搭載することで、単一サンドボックスエンジンと比較して、攻撃の検知／分析精度を強化しているという。

具体的には、(1)米Lastlineのエンジン、(2)独VMRayのエンジン、(3)SonicWALLの独自エンジンの3つを載せている。安藤氏によれば、「3つのサンドボックスエンジンを搭載するのは業界初」となる。

(1)Lastlineのエンジンは「フルシステムエミュレーション」が強み。ソフトウェアエミュレーションだが、CPUとメモリを含めてエミュレーションするという。

「通常のエミュレーションでは、プラットフォームのCPUはそのまま使いながらアプリケーションを仮想的に動かす。しかしLastlineは、WindowsであればIntelのCPUやメモリ容量なども同じようにソフトウェアでエミュレーションするため、マルウェアはエミュレーションされていることに気付かない」（安藤氏）

(2)VMRayもLastlineと同様のエミュレーションを行う。ただ、異なる点は、ハイパーバイザを作り、その上でフルシステムエミュレーションを実施することだという。