分析結果を既存製品と共有してブロック
Deep Discovery Advisorは、サンドボックスでグレーなファイルを解析し、結果を既存製品と共有、防御を支援する。カスタム ディフェンスのコンセプトにおける、検知・分析・適応・対処の対策サイクルのうち、分析フェーズを担当する。
トレンドマイクロでは、Deep Discovery Advisorの発表にあわせて、その他フェーズについても強化を行った。流れは下記の写真にある図のとおりだ。1つずつ見ていこう。
Deep Discovery Advisorの位置付けとカスタム ディフェンスの全体像
検知フェーズでは、メールゲートウェイ製品「InterScan Messaging Security」やWebゲートウェイ製品「InterScan Web Security」が外部から送り込まれる脅威を検出する。その検出エンジンに、ファイルの脆弱性を検知する「ATSE」(Advanced Threat Scanning Engine)エンジンを新たに追加した。また、C&Cサーバーへの通信を検知する「CCCA」(C&Cコンタクトアラート)サービスを各製品に順次実装していく。
分析フェーズでは、Deep Discovery Advisorが待ち構えており、ATSEから渡されたファイルをバーチャル・アナライザーで動的解析し、黒か白かを判断する。解析は仮想OS環境上で実行するが、同製品はWindows Vista 32ビット/Windows XP Professional 32ビット/Windows 7 Enterprise 32ビットの最大3つを設定できる。
検知された脅威情報は、他の攻撃情報との相関関係が解析され、可視化して確認できるほか(スレットコネクト)、Custom CCCAデータベースと呼ばれるブラックリストDBに蓄積される。
特にスレットコネクトはDeep Discovery Advisorのユニークな特長で、たとえばダウンロードされたファイルAがC&Cサーバーと通信してファイルBを呼び込み、他のPCにコピーしているといった、他の要素との関係と攻撃の全体像が可視化される。マルウェアを駆除したはずなのに、しばらくしたら未発見のマルウェアが活動を再開したなど、単一ファイルを見るだけでは発掘できない脅威を芋づる式に洗い出せる。
なお、ネットワークトラフィックの監視装置「Deep Discovery Inspector」もAdvisorと似たような機能を持っているという。違いは、「Inspectorは仮想OS環境が1つで、Advisorは最大3つまで設定可能。また、Advisorは他製品と連携してブロックまでつなげることができる」と、トレンドマイクロ エンタープライズマーケティング部 部長代行 大田原忠雄氏は説明する。
トレンドマイクロ エンタープライズマーケティング部 部長代行 大田原忠雄氏
適応フェーズでは、各種ゲートウェイ製品がCustom CCCAから受け取った危険リストと、SMART Protection Networkなどの脅威情報を集約したデータベース「Global CCCA」を照会して、必要に応じてブロックを実行する。
最後の対処フェーズでは、さらなる詳細な解析をトレンドマイクロの専門家がサポート。個別ヒアリングで導入支援を提供する「プロフェッショナルサービス」や、ログ分析結果に基づく脅威通知や24時間365日のインシデント対応などを提供する「トレンドマイクロ プレミアムサポート」を用意する。
導入から運用、改善まで全行程をプロがサポート
価格は、ハードウェア3年保守版が1418万円/台、ハードウェア5年保守版が1508万円/台、次年度更新は630万0000円/年(いずれも税抜)。受注開始予定日は、2013年8月26日。
