チェック・ポイントに聞いた脅威管理クラウドの意義

標的型攻撃とボットを防げ！顧客と共闘するためのThreatCloud

2012年06月04日 09時00分更新

文● 大谷イビサ／TECH.ASCII.jp　写真●曽根田元

標的型攻撃やマルウェアの増加に対応し、製品やサービスなどを着実に強化しているのが、チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）だ。先日発表された「ThreatCloud」を中心に、同社の取り組みについて聞く。

標的型攻撃やボットを防ぐためのThreatCloud

　昨今、特定の企業やユーザーを狙う標的型攻撃がますます巧妙になり、大きな被害を与えている現状がある。また、ボットの侵入も増えており、企業は攻撃を防ぐだけではなく、漏えいを防ぐ「出口対策」も意識しなければならなくなっている。

チェック・ポイントプロダクトマーケティング部長フレッド・コスト氏

　チェック・ポイントプロダクトマーケティング部長フレッド・コスト氏は、「2007～2011年の間に脅威は600％も増えた。調査してみると、システムにボットが侵入している企業は非常に多い」と警告する。特にソーシャルエンジニアリング的な手法でユーザーにマルウェアのダウンロードを強いる、ドライブバイダウンロードと呼ばれる攻撃は昨今特に増加する傾向にある。「脆弱性はプログラムだけではなく、ユーザーにも存在する。最近は、（ドライブバイダウンロードのように）ユーザーにマルウェアをダウンロードさせるほうが容易だと考えられているようだ」（コスト氏）という。

　これに対してチェック・ポイントが先日発表したのは、同社のアプライアンスに搭載されるOSのバージョンアップやボットによる悪事を防ぐSoftware Blade、そしてセキュリティの脅威を迅速に排除するための「ThreatCloud」などの一連の製品である。このうち特に標的型攻撃やボットの検出に効果を発揮すると見られているのが、オンラインサービスであるThreatCloudだ。

ThreatCloudの概要

　ThreatCloudはグローバルで最新のセキュリティ情報を収集し、標的型攻撃やマルウェアの検出を正確かつ迅速に行なえるようにしたクラウドだ。チェック・ポイントがグローバルで展開しているセンサーの情報はもちろん、ユーザー拠点に設置されたアプライアンスなどから提供された情報や他社から提供された脆弱性情報も含まれる。「1つの攻撃情報をみんなで共有し、インテリジェントとして活用していく。これにより、脅威に対して共闘していく」（コスト氏）という。クラウドをセキュリティの脅威管理に利用するという試みは決して真新しいものなく、同社でも導入してきたが「今までは製品ごとに利用するクラウドが異なっていた。また、センサーなどの情報収集体制がはるかに大きくなっている」と説明する。

Anti-bot Software Bladeの真価とは？

　こうしたThreatCloudの脅威情報を活用し、おもにボットの感染や攻撃を防ぐのが新たに投入された「Anti-bot Software Blade」である。

　ご存じの通り、同社はSoftware Bladeというアーキテクチャーにより、複数のセキュリティの脅威に対して統合したプラットフォームで対抗できるようになっている。Anti-bot Software BladeもこうしたSoftware Bladeの1つで、既存のアプライアンスにモジュールとして追加できる。「ThreatCloudから得たIPアドレスやDNS、URL、ボットを操作するC&Cサーバーなどの情報を元に、ボットのコミュニケーションを分析し、場合によっては遮断する」（コスト氏）というクラウドと連携した動作により、ボットを封じ込めることが可能になる。

Anti-Virus Software Blade

　インバウンドでの攻撃防御や侵入遮断を意図していた既存のAnti-Virus Software BladeやIPSに加え、Anti-Bot Software Bladeを追加することで、侵入してしまったボットが悪事を働かないようにすることが可能だ。「インバウンドでのAnti-VirusやIPS、アウトバウンドをメインにしたAnti-botの両方を用いると、対策として非常に効率的だ」と説明する。

　さらに収集した大量のログから必要な情報を検索できる「SmartLog」やマルウェアの情報を統合管理する「SmartEvent」を活用することで、セキュリティ動向や最新の脅威について調べることが可能になるという。日々進化する攻撃に対し、ユーザー側も無理なくPDCAサイクルを回せるようになっているのが、製品の大きな特徴といえる。

■関連サイト