1日20万以上のウイルス解析を手作業+自動化で効率化
フォーティネットの製品とサービスはすべて内製されており、それが同社の強みでもある。
「既成のCPUを購入したり、サードパーティ製のアンチウイルスエンジンをライセンス購入したりして製品を組むことはしない。ネットワークセキュリティは、ASICチップの設計からウイルスの研究調査まで、すべて網羅することで完成すると考えるからだ」(ジー氏)。
同社では、投資の5割近くを研究開発やマルウェアの研究調査、導入製品へ迅速なシグネチャー配信を行うシステム開発・運用などに充てている。特に、最新の脅威の調査研究や製品へのフィードバック、ゼロデイ攻撃専門調査などを担当するFortiGuard Labには、200人以上のエンジニアやリサーチアナリスト、フォレンジック専門家が在籍し、サイバー攻撃の最前線で戦っている。
ウイルスの調査からシグネチャー作成、配信までの流れは、次のとおりだ。
同社の製品は世界各国で160万台以上が導入されており、これら製品などから1日10万~20万以上のウイルスのサンプルが送られてくる。その格納先が、写真のサーバーだ。10年前はPC3台、1TB程度で済んでいたが、今は200TB以上に容量を拡張。うち約130TBに、2億以上のウイルスが保存されているという。
このラックの中には、顧客のノードなどから収集されたウイルス検体がうじゃうじゃ
収集したウイルスは、同オフィスの4階にあるアンチウイルスのリサーチチームが分析する。まず、届いたウイルスはレプリケーションシステムに入れられる。
「最近のウイルスは、サンドボックス技術を回避したり、別のマシンに感染するたびに変異したりと複雑だ。そこで、ウイルスをこのシステムに入れてふるまいを観察し、亜種すべてに共通する要素を見つけ出してシグネチャーを作成する。そうすることで、ウイルスのファミリすべてを1つのシグネチャーで捕獲できるようになる」(同社セキュリティアナリスト)。
ちなみに、1つのシグネチャーでウイルスファミリすべてを捕捉できる技術は、「Compact Pattern Recognition Language」として同社が特許取得している。
アンチウイルスのリサーチチーム。写真手前、左側のXPマシンはレプリケーションシステムで、ここでウイルスの感染や変異活動を観察、分析する
もっとも、人間の手作業だけで1日20万近くのウイルスを相手にするのは無謀な話だ。そこで、同社は攻撃の種類を解析してシグネチャーを自動生成する独自のアルゴリズムを開発した。これにより、その時々の状況にもよるが、3時間ごとに平均8000のシグネチャーを同社製品群へ配信することが可能となっている。
作成されたシグネチャーは、自動テスト環境にかけられる。リリースする前に、誤検出はないか、誤って重要なファイルを削除するような動作はしないか、確実にウイルスを検出できるかなどを検証する。
シグネチャーの自動テスト環境。10年前はタワーPC10台だったが、今はラックマウントサーバー100台規模にまで拡充
シグネチャーに問題がなければ、写真のプライマリ配信システムから世界各地にあるローカル配信サーバーに送信され、そこから顧客企業に導入された同社製品へ適用される。
ちなみに、顧客からのフィードバックもこのサーバー群に集約される。「シリコンバレーの本社にセカンダリがあるが、自分がここに来てから10年以上、一度もサーバーが落ちたところを見たことがない。万が一落ちたとしてもセカンダリシステムに素早く切り替わるので、配信が滞ることはない」(セキュリティアナリスト)。
シグネチャーの配信システム。ここからシグネチャーが全世界に配信されている
(→次ページ、セキュリティストラテジストに人材育成戦略を聞く)
