前回に引き続き、3月22日にプレスリリースしました『新日鉄住金ソリューションズ、クライアント仮想化ソリューション「M3DaaS@absonne」におけるエンドポイント向け標的型攻撃対策サービスを強化』に記載されているM3DaaS@absonneのオプションに追加された標的型攻撃対策サービスについてお話をしたいと思います。
今回は、前回ご紹介したパロアルトネットワークス株式会社(以下パロアルトネットワークス)のアドバンストエンドポイントプロテクション製品『Traps』の特長を中心にご紹介します。
今回のサービスで利用する標的型攻撃対策製品は、パロアルトネットワークス社のTrapsという未知のウイルスやマルウェアに対応できるアドバンストエンドポイントプロテクション製品になります。
パロアルトネットワークス社は2005年に設立されたネットワークセキュリティベンダーです。アプリケーションの識別と制御を可能にした次世代型ファイアウォールの先駆者として、市場で高い評価を得ており、イード社が2016年3月1日に発表した『イード・アワード サイバーセキュリティ 顧客満足度 最優秀賞 2016』の次世代ファイアウォールの部において、最多となる5つの顧客満足度を獲得しています。
イード・アワードのプレスリリースhttp://www.iid.co.jp/news/press/2016/030101.html
Trapsは端末にインストールするエンドポイント製品であり、従来のパターンファイルに依存するアンチウイルス製品と異なり、攻撃者の利用する悪意のある「振る舞い」を監視してブロックする振る舞い検知型の製品です。
図1:Trapsの動作イメージ
振る舞い検知とは、ウイルスやマルウェアの様々な動き(振る舞い)を見て、検知・ブロックをする仕組みです。パターンファイル型のセキュリティ製品では対応できなかったゼロデイ攻撃などの未知のウイルスやマルウェアにも対応できるのです。
Trapsの振る舞い検知は、マルウェアが利用する攻撃テクニックに着目して対応します。この攻撃テクニックは世界中でせいぜい数10種類しかなく、この攻撃テクニックを中心に検知・ブロックすることで、効果的な対策を打つことができます。
※ エクスプロイット:アプリケーションの脆弱性を悪用し、DoS攻撃や任意のコード実行、権限昇格など、攻撃者がユーザに気づかれずに目的を達成する攻撃のこと。
図2:今日のマルウェアの傾向とTrapsの着眼点
Trapsは振る舞い検知による対応で非常に高い防御能力を持っていますが、それ以外に次のような特長を持っています
Trapsのエージェントはアプリケーションを常時監視しますが、ファイルスキャンは一切必要としないため、CPUやメモリ、ディスクに与える性能影響はほとんどありません。
Trapsは、パロアルトネットワークス社の提供するクラウド型サンドボックスの「WildFire」と標準連携。未知の怪しいファイルの振る舞いを「WildFire」に解析させることで、最新の攻撃に対しても迅速に対応し、すり抜ける確率を大幅に削減します。
図3:パロアルトネットワークス WildFire
Trapsは、攻撃検知時に操作していたユーザの情報やアクセスしていたURL、開いていたファイルなど、システムの詳細情報を収集する「攻撃分析機能」を標準で搭載。『攻撃情報の見える化』を実現し、管理者が攻撃検知後の次の一手を迅速に対応できる情報を提供します。
標的型攻撃対策製品であるTrapsをご理解いただけたでしょうか?今回はここまでにしたいと思います。次回コラムは本タイトルの最終回として、DaaS+標的型攻撃対策製品『Traps』の組み合わせが非常に優れている理由をご紹介したいと思います。
日鉄ソリューションズ株式会社ITインフラソリューション事業本部事業企画推進部 プロフェッショナル新堀 徹
