10月13日、チェックポイント・ソフトウェア・テクノロジーズはセキュリティアプライアンスの新モデルと、新しいソフトウェア・ブレードとして「Anti-Bot Software Blade」を発表した。アプライアンスは同日受注開始、Anti-Bot Software Bladeは2012年第1四半期に発売予定となっている。
ソフトウェアブレード対応の新アプライアンス
2012年モデルとして、7種の新アプライアンスが追加された。いずれも同社の「Software Bladeアーキテクチャ」に最適化されており、ソフトウェアブレードとして提供されるモジュールを自由に追加でき、ユーザーが必要とする機能を任意に組み合わせて実行できる。
会場に展示された新アプライアンス
新モデルは、「CheckPoint 2200」「同4200」「同4600」「同4800」「同12200」「同12400」「同12600」の7モデルで、大きく2200、4000シリーズ、12000シリーズの3種に分けられる。大まかな対象用途は、2200が小規模オフィスからデスクトップ向け、4000シリーズがエンタープライズグレード、12000シリーズがデータセンターグレードと位置づけられる。なお、ウルトラハイエンドと位置づけられる61000システムおよび21400アプライアンスは、先行して8月にすでに発表済みとなっており、今回の発表でローエンドからハイエンドまでのラインナップが完成したことになる。
2012年モデルのアプライアンス・ラインナップ
新アプライアンスは、同等規模の既存製品に比べるとパフォーマンスが約3倍に向上しているが、パフォーマンスの指標としては従来のスループット値ではなく、同社独自のSPU(SecurityPower Units)が全面的に採用されている。
SPUは、最近のWindowsで使われている「Windowsエクスペリエンス インデックス」と同様のコンセプトに基づくものだと言ってよいだろう。ネットワークのスループットやソフトウェアブレードの実行性能などを総合的に判断して単一の数値として表示するもので、ベンチマークのスコア表示のようなものだ。SPUを使うことで、ユーザーが希望する構成に必要な処理能力が明確化されるので、従来は勘や経験に頼っていたアプライアンスのサイジングがより厳密に行なえるようになる。
SPU値の概要
従来モデルと新モデルのSPU値の比較
具体的には、同社が提供する計算ツールで、導入したいソフトウェアブレードの種類とゲートウェイのスループットもしくはサポートしたいユーザー数を指定すると、必要なSPU値が表示されるので、このSPU値以上の性能のアプライアンスを選定すればよい。アプライアンスのSPU値はツールに登録されているので、必要なSPU値に対してどの程度の処理能力の余裕が残るかも明確に分かるため、将来の拡張に備えてどの程度の余裕を見込むか、といった判断も的確に行なえる。
SPU値計算ツールによる所用SPU値の決定と適切なアプライアンスモデルの選択のイメージ
同社のセキュリティアプライアンスでは、ソフトウェアブレードという形でセキュリティ機能をユーザーが任意に組み合わせて利用できる点が特徴となっているが、一方でこの仕様はサイジングの判断を難しくしているのも確かだ。ソフトウェアブレードはそれぞれ処理内容が異なっており、システムにどの程度の負荷を掛けるかも個々にばらつきがあるはずだ。単純に数で判断することはできないが、ユーザーが個々のソフトウェアブレードの負荷の重さを的確に知る手段はこれまで提供されていなかった。新発売のモデルのみでなく、従来機種に関してもそれぞれSPU値が算出されており、従来機種に比べて3倍のパフォーマンス、というのはSPU値に基づいた表現だ。
ボットネットに特化した新ブレード「Anti-Bot」
また、新たなソフトウェアブレードとしてAnti-Bot Software Bladeが発表された。これは、近年著名企業各社が相次いでセキュリティ侵害被害を受けたことが報道されているとおり、攻撃手法として急速な拡がりを見せているボットネットに対する対策に特化した機能だ。検出には新たに開発された「ThreatSpectエンジン」が使用されている。セキュリティゲートウェイ上での検出であり、個々のクライアント(PCやサーバ)の内部をスキャンするのではなく、あくまでも通信の特徴からBot感染を判断し、適切に遮断もしくは警告を行なう。
ボットネットの被害例
ボット感染の判断には、通信相手のIPアドレス、通信パターン、疑わしい挙動、といった手がかりが使われる。IPアドレスは、ボットに対して指示を与えたり情報を受け取ったりするために使われる既知のIPアドレスを情報として持っておき、このIPアドレスに対する通信があった場合にはボット感染を疑う、というものだ。また、通信パターンはボットネットでの通信に特徴的なパターンをアンチウィルスソフトのシグネチャのような形で保持しておき、これと照合することで判断する。挙動は、ボットに感染したクライアントはスパムメールの送信やローカルで収集した個人情報その他をボットネットに送信したり、LAN内の他のクライアントにボットを再配布したり、といったボット感染時に特有の挙動を検出する手法だ。管理者は、LAN内にボット感染が疑われるシステムがあるかないか、あるとすれば何台あるのか、どのような種類のボットに感染しているのかといった情報を収集し、フォレンジック情報を記録することができる。
Anti-Bot Software Bladeのボット検出手法
Anti-Bot Software Bladeは、ボット感染自体を防ぐものではなく、ボットに感染したPCがLAN内部に存在したとしても、それによって具体的な被害が発生することを防ぐ事後的な対策となる。マルウェアのLAN内部への侵入自体を予防する“Firewall”や“Antivirus & Anti-Malware”といった他のソフトウェアブレードと組み合わせることで、より強固な防御を実現することが期待できる。
チェックポイント・ソフトウェア・テクノロジーズ 代表取締役社長 藤岡 健氏
システム・エンジニアリング本部 本部長 安藤 正之氏
概要説明を行なった同社の代表取締役社長の藤岡 健氏は「450万台のコンピュータが2011年第1四半期にTDL-4ボットネットに感染」「Fortune 100企業の50%がMariposaボットネットによるデータ搾取の危機に遭遇」といったデータを紹介し、Bot対策の重要性を強調した。また、製品説明を行なった同社のシステム・エンジニアリング本部 本部長の安藤 正之氏は、Anti-Bot Software Bladeについて「各ゲートウェイごとに実装/Botの被害を確実に食い止めることができ、動作も高速だ」とした。
