このページの本文へ

脅威の進化に対抗した検知機能強化、認証情報の盗難/不正利用防止機能など

パロアルト、PAN-OS最新版やアプライアンス新機種を国内投入

2017年03月08日 07時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 パロアルトネットワークスは3月7日、同社の次世代ファイアウォール(NGFW)向けOS最新版となる「PAN-OS 8.0」の国内提供開始を発表した。OS新版では40を超える新機能を追加している。また、NGFWアプライアンスの新モデル(ハードウェア、仮想アプライアンス)も投入し、同社が提唱する「次世代セキュリティプラットフォーム」全体を強化している。

今回パロアルトが発表した主な強化点

米パロアルトネットワークス 製品/産業/ソリューション分野 マーケティング担当SVPのフランク・モン(Frank Mong)氏

パロアルトネットワークス セキュリティプラットフォーム エバンジェリストの藤生昌也氏

 発表会に出席した米パロアルトネットワークス SVPのフランク・モン氏は、今回の発表を大きく4つのポイントに分けて紹介した。

 「認証情報の盗難防止機能」では、スピアフィッシングなどの手法で認証情報(クレデンシャル、ID/パスワード)を詐取し、それを悪用して社内の重要リソースに不正アクセスする攻撃を防ぐための、複数の新機能が追加されている。

 モン氏は、社内重要リソースへの不正アクセスを狙ったこの攻撃ライフサイクルに対し、PAN-OS 8.0では3段階で攻撃阻止を図ると説明した。最近では、「Box」など社外のクラウドアプリ/SaaSにおいても社内と同じ認証情報を使うケースが増えており、フィッシング被害にも遭いやすくなっている。

 まず、疑わしいリンクが含まれるメールが届いた段階で、脅威インテリジェンスクラウドの「WildFire」にこれを送信し、機械学習による分析に基づいてそのURLがフィッシングサイトかどうかを短時間で判定する機能だ。判定後、最短5分でブロック対象のURLデータベースに追加され、社内ユーザーがサイトにアクセスするのを自動的にブロックする。

 次に、だまされた社内ユーザーがフィッシングサイトに認証情報を送信してしまうのをブロックする機能だ。NGFWと社内のActive Directory(AD)を連携することで、ユーザーが未知のサイトに送信するトラフィックに認証情報が含まれていることを検知し、警告もしくはブロックを行う。

 最後に、上記2つの機能で認証情報が守りきれなかった場合にも、社内リソースの不正利用を防ぐ機能を提供する。具体的には、重要リソースへのアクセス時に多要素認証を強制するフレームワークが追加されており、たとえ攻撃者がID/パスワードだけを盗み出したとしても、悪用できない環境を作る。

3段階の防御機能を追加した「認証情報の盗難/不正利用防止機能」

 また、PAN-OS 8.0では、進化する脅威に対抗するための「最新の脅威に対する防御機能の強化」も行われている。たとえば、仮想化環境のサンドボックスを検知して機能を停止するマルウェアに対抗するため、WildFireにおいてベアメタル分析環境を追加し、こうしたマルウェアを検知可能にした。

 また、これまで研究者が人手で行っていたマルウェア~C2サーバー(C&Cサーバー)間の通信ペイロード抽出の処理をWildFireで自動化したことで、検知力の高いC2シグネチャを短時間で自動生成/配信できるようになった。これにより、C2サーバーのIPアドレスやドメイン名が頻繁に変更される場合でも、そうした不正トラフィックを高精度に検出できる。

C2シグネチャの自動生成。これまでは研究者の人手に頼っていた質の高いシグネチャ生成を自動化/短時間化した

 また、パロアルトの提供する脅威インテリジェンスサービス「AutoFocus」において、外部の脅威データフィードからの情報を取り込むツール「Minemeld」を統合し、さまざまな脅威情報を容易に活用できるようになった。

 NGFWアプライアンスにおいては、既存の16種類に加えて、仮想アプライアンスを含む9機種が新たに追加された。モン氏は、今回追加されたモデルでは特に「データセンターにおける高パフォーマンス要件」や「SSL暗号化トラフィックの可視化への対応」などを意図していると説明した。

NGFWアプライアンスに9機種を追加。「高パフォーマンス」「SSL可視化」のニーズに対応

 データセンター/高速ゲートウェイ向けに追加されたPA-5200シリーズでは、最大で72Gbpsスループット(APP-IP有効時)、30Gbpsスループット(脅威防御時)を実現。また40Gポートに加え、初めて100Gポートも搭載している。そのほか、新しいPA-800シリーズは中規模企業/支店向け、新しいPA-220シリーズは小規模企業/リモート拠点向けのモデルとなっている。

 仮想アプライアンス版では、新たにVM-700、VM-500、VM-50が追加され、あわせて既存モデルのパフォーマンスもそれぞれ2~4倍向上させている。

 説明会に出席したパロアルト セキュリティプラットフォーム エバンジェリストの藤生昌也氏は、現在のサイバーセキュリティ状況は攻撃者側が「非常に有利」になっており、防御側がそれに対抗するためには、すべての機能が自律的に連携動作し、一貫したセキュリティが提供できるセキュリティ環境が必要だと指摘。パロアルトでは「オートノーマス プリベンション」というビジョンを掲げてその実現を進めており、そのためにNGFW/脅威インテリジェンスクラウド/エンドポイント「Traps」で構成される同社の次世代セキュリティプラットフォームがあることを説明した。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード