9月26日、チェック・ポイント・ソフトウェア・テクノロジーズ(以下、チェック・ポイント)は同社のセキュリティアプライアンスに搭載されているソフトウェアである「Check Point R77」(以下、R77)を中心とする技術説明会を行なった。
“未知の攻撃”を“既知の攻撃”へ
チェック・ポイントはこれまでも既知の脆弱性を突く攻撃を防ぐIPSやマルウェアに感染するファイルをブロックするアンチウイルス、アンチウイルスで防げないボットや情報漏えいを防ぐアンチボットなど複数の技術を用いた多層的な脅威防御を展開してきた。しかし、アプリケーションのクリティカルな脆弱性は増えているほか、毎日7~10万の新しいマルウェアのサンプルがツールで作成され、毎日拡散されているという。こうした未知の攻撃をストップすべく提供されているのが、R77で搭載される「Check Point Threat Emulation」になる。
技術説明を行なったチェック・ポイント・ソフトウェア・テクノロジーズ システムエンジニアリング本部 本部長 村田 眞人
Check Point Threat Emulationはいわば「チェック・ボックス版のサンドボックス」で、メールに添付されたファイルを仮想のOS上でエミュレーションし、怪しい挙動を示すファイルを検出するものだ。Threat Emulationではファイルシステムやシステムレジストリへのアクセスやネットワーク接続、システムプロセスなどを監視しており、不正なファイルはインラインで遮断することができる。「ファイアウォールなので、検出できるだけではなく、ストップすることができる。しかも攻撃に関する情報をThreat Cloudにアップロードし、アンチウイルスのシグネチャとしてすべてのゲートウェイに反映される。未知の攻撃が既知の攻撃になる」(村田氏)。
添付ファイルを仮想のOS上でエミュレーションする
Threat Emulationは専用アプライアンスでインライン/タップ接続で実行させる形態のほか、処理をクラウドで行なわせることで負荷を軽減する形態、メール転送のエージェントとして動作させる形態など多彩な導入形態をサポートする。ライセンス体系もユニークで、ゲートウェイの数に関係なく、検査するファイル数で課金される。さらにThreat Emulation専用のアプライアンス(TE250/TE1000)をプライベートクラウドへの導入することも可能だという。
こうしたサンドボックスのアプローチは、パロアルトやファイア・アイなどもいち早く製品に投入しているが、クラウドとローカルで両方ともサポートしている、デバイス数が少なくても使える、インラインで防御できる、SSLの可視化が可能といった点において、チェック・ポイントのThreat Emulationの方が優れているという。
パロアルト、ファイア・アイのサンドボックスとの比較
R77ではチェック・ポイントの次世代ファイアウォールのパフォーマンスを大幅に向上させる「HyperSPECT」という技術も投入されているという。HyperSPECTでは、メディアやHTTPなどの特定のコンテンツに向けて検査を最適化するとともに、上位機種ではインテルCPUのハイパースレッディングを活用。ソフトウェアのアップグレードだけで、すべてのチェック・ポイントのアプライアンスにおいて、最大50%のパフォーマンス向上が実現するという。
VPNクライアントからモバイルデバイス管理まで
もう1つ紹介されたのは、モバイルデバイスのセキュアな利用についての機能だ。同社の調査によると、89%の企業はスマートフォン経由でビジネスへのアクセスを許可。69%の企業は自身のデバイスを持ち込むいわゆるBYODを許可しているという。しかし、そこには紛失・盗難による情報の漏えい、個人情報とビジネス情報の混在、企業システムへの不正アクセスといったリスクが存在する。そして、こうしたリスクに対し、多くの企業はパスロックや暗号化、リモートワイプ、アプリケーションブラックリストなどデバイス単位の保護を行なっている。しかし、公私混在するBYODという観点では、こうしたデバイス単位の保護では十分なセキュリティ対策とはいえないというのが、村田氏の論だ。
従来からチェック・ポイントは、ゲートウェイへのVPNクライアントを提供しており、安全なリモートアクセスを可能にしていた。新たに提供された「Check Point Mobile Enterprise」では、こうしたセキュリティ対策を一歩進め、ビジネスデータを保護しつつ、BYODを推進する。
新たに提供された「Check Point Mobile Enterprise」
具体的には、セキュアなリモートアクセスを可能にする「Mobile Access Blade」と連携し、モバイルデバイスにサンドボックスを構築し、ビジネスデータを暗号化・隔離する。また、ジェイルブレイクされたデバイスの利用を防止したり、データの有効期限やリモートワイプなども提供される。これにより、端末レベルのデータ保護、通信の秘匿化、リモートアクセス先のアクセス制御までを完全にカバーするという。
