2014年12月10日、米Lastline, Inc.は日本法人のラストライン合同会社の設立を発表した。10月15日に合同会社を設立し、代理店としてSCSKとNTTデータ先端技術を新たに迎えた今、日本での標的型攻撃対策製品の市場開拓へ本格的に乗り出す。
次世代サンドボックスとレスポンス支援を武器に市場開拓
ラストラインのソリューションは、マルウェア解析を担当する「Engine」、オンプレミスに配置される「Sensor」、管理モジュールの「Manager」で構成される。Sensorで検知、一次解析された不審なファイルはManagerに集約され、その後Engine上で詳細解析される。脅威と判断された場合は、緊急度別に管理者へ通知するほか、導入済みの他セキュリティ製品と連携して通信などをブロック、感染端末とC2サーバーとの通信を遮断して被害拡大を防ぐ。Engineは、ホスト型またはオンプレミス型のいずれかを選択できる。
「昨今の標的型攻撃のマルウェアは、従来のセキュリティ対策を熟知しており、巧みにすり抜けて侵入を成功させる。最悪の場合、数ヵ月も検知されないままのシステムもある。一方で、アラートが挙がっても即対応が必要かどうかを判断できなければ、米ターゲット社の事件のような大量漏えいに発展しかねない。これからの標的型攻撃対策製品には、マルウェア検知機能に加えて、インシデントレスポンスを支援する機能が必須だ」。米Lastline, Inc.の共同創業者でチーフサイエンティスト、クリストファー・クルーゲル氏はそう述べる。
ラストラインは、その名のとおり「最終防衛ライン」として境界セキュリティと重要な情報資産の間に陣取り、C2通信やエクスプロイト、メールやファイル共有などを介して入ってくる不審なプログラムを検知、解析し、感染や被害拡大を防ぐ。
同社ソリューションには、3つの強みがある。1つは、次世代サンドボックスだ。通常のサンドボックス技術は、OSをエミュレーションしてシステムコールを監視する。しかし、これではどのようなデータを処理したのか、何を読み取ったのかまでは分からない。しかも、マルウェア作成者はこの「分からない」部分にサンドボックス環境を回避する命令を入れるなどして、より検知されにくい作り込みを行なってくる。
ラストラインの次世代サンドボックスでは、マルウェアが実行する命令シーケンスすべてを可視化するフルシステムエミュレーションのアプローチをとっている。これにより、検知をかいくぐる行為も見逃さず、マルウェアの動作をより詳細に解析できる。
2つめの強みは、イベントの優先順位付けと相関分析だ。「従来の製品は膨大なIOC(侵入の痕跡)を吐き出すだけで、意味づけを行う側の負担は増える一方だった。ラストラインでは、これらIOCを攻撃の各フェーズと相関付けし、緊急度に基づき対応の優先順位を提示する。これにより、早急な対応が必要なものが一目で分かる」(クルーゲル氏)。
そして最後は、ソフトウェアおよびクラウドベースでの提供だ。「クラウドベースであれば、アップグレードやアップデートは随時かつ自動で行なわれ、新しい脅威が登場してもすぐに対応できる。ソフトウェアの場合は、汎用サーバーや仮想マシンにインストールして複数個所へスケールアウトするなど、自社の規模やコストと相談しながらの柔軟な展開が可能だ」(クルーゲル氏)。
製品は、2年前からテリロジーが国内代理店として販売しており、すでに官公庁や製造業、研究機関などで導入実績があるほか、NTTソフトウェアの「CipherCraft/Mail(サイファークラフトメール)標的型メール対策」でもサンドボックス機能に採用されている。
「これまでの日本の標的型攻撃対策市場は、1社独占体制だった。ラストラインという競合ベンダーが参入したことで、ユーザーにとってはようやく選択肢の幅が広がることになる」(ラストライン合同会社 カントリーマネージャー 伊藤一彦氏)。