このページの本文へ

最新セキュリティ製品で標的型攻撃を防げ! 第11回

BYODやスマートデバイスに対応した新機能も

標的型攻撃に包括的な対策を提供するFortiOS 5.0

2012年12月05日 06時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

150以上の新機能と機能拡張を追加

 FortiOSは、同社のUTM(Unified Threat Management)であるFortiGate用のOS。独自ASICを制御し、高速なセキュリティ処理を実現するFortiGateの要と言えるソフトウェアだ。今回発表されたFortiOS 5.0では、標的型攻撃対策、スマートデバイス/BYOD、エンドポイントコントロール、可視化、IPv6対応の強化、無線LANの拡張など、150以上の新機能や機能拡張が施されているという。発表会では、フォーティネットジャパン プロダクトマネージメント部 部長 伊藤憲治氏が新機能の概要や詳細を説明した。

フォーティネットジャパン プロダクトマネージメント部 部長 伊藤憲治氏

 セキュリティ面で大きいのは、標的型攻撃を防ぐための一連のサイクルを網羅した点だ。悪意のあるコードの侵入を防ぐ「入口対策」、侵入後の動作を防ぐ「潜伏期間対策」、そして外部への情報漏えいを防ぐ「出口対策」の3つのフェーズでそれぞれ対策を強化。「日本でも関心の高い標的型攻撃に対して、個々の技術だけではなく、防御サイクルという設計指針を盛り込んだ」(伊藤氏)という。

標的型攻撃対策を防御サイクルとして組む込んだ

 入口対策としては、プログラムやスクリプトを仮想マシン上で実行させるサンドボックスが導入された。標的型攻撃対策としてメジャーになりつつあるサンドボックスだが、FortiOS 5.0ではローカルサンドボックスとクラウドサンドボックスの2種類を用意した。

 ローカルサンドボックスはJavaScriptやFlash、PDFなどWebアプリケーションをライトウェイトな仮想マシンエミュレーター上で実行し、マルウェアを検知する。一方、クラウドサンドボックスはフルセットの仮想マシンで実行され、PE、DLL、フォント、オブジェクトコード、スクリプト、PDF/Flashなど全ファイルタイプをエミュレートし、不正なコードの場合は対応するシグネチャを生成する。両者はヒューリスティック技術と併用でき、怪しいふるまいや動作があった場合に、これらのサンドボックスで検証するようポリシーで設定することが可能だという。伊藤氏は「ここまでエミューレートで実行できる製品はない。IT管理者が必要なファイル形式はすべて網羅している」とアピールした。

おもにWebアプリケーションを制御するローカルサンドボックス

ファイルタイプを選ばないクラウドサンドボックス

 また、悪意のあるコードがローカルに潜伏している間の対策としては、標的型攻撃に特有のふるまいを監視・記録する「クライアントレピュテーション」を用いる。具体的は、感染端末を認識し、DNSに存在しないドメインへのアクセス、セキュリティポリシーでのブロック歴があるもの、疑わしい国や地域へのアクセスなどのふるまいを評価。スコアリングを行なうことで、脅威の状態を分析できるという。

潜伏期間中の動作をチェックするクライアントレピュテーション

 出口対策におけるボットネット検出に関しては、アンチウイルスのシグネチャによる検出、URLフィルタリングによる検出のほか、今回は新たにIPSのシグネチャを用いた検出を追加した。C&Cサーバーへのコマンドや通信内容まで精査できるため、より精密なボットネット検出が可能になる。加えて、ファイルにマーキングを行なうことで情報漏えいを防止する「ウォーターマーク」を追加した。

デバイス識別により詳細なコントロールが可能に

 BYODやスマートデバイスに関連した機能としては、デバイスの識別機能が搭載された点が大きい。デバイスやデバイスグループをFortiGate側から識別することで、ファイアウォールのポリシーを変えたり、ユーザー認証と連携した可視化が可能になる。

 さらに統合型セキュリティクライアントである「FortiClient」を利用することで、より詳細な「エンドポイントコントロール」が実現する。具体的にはFortiGateにつながっていない状態でも、FortiClientが直近のセキュリティポリシーやVPN設定を適用したり、デバイス識別においてもOSやログインユーザーなどの情報をFortiClientが吸い上げて、FortiGateに提供できる。なお、FortiClientは10ユーザーまで無償で利用できるが、FortiGateのモデルによって、最大管理数が異なる。

FortiGateを経由しない通信でもプロテクションを実施

 フォーティネットジャパン 社長執行役員 久保田則夫氏は、「標的型攻撃に対する対策への関心は高かったが、メッセージを出し遅れていた」と述べ、今回のOSアップデートで標的型攻撃への準備が整ったことをアピールした。また、スマートデバイスのBYODに関しても、来年以降大きなトレンドとなっており、ユーザーも追従していくことが必要だと説明した。

Fフォーティネットジャパン 社長執行役員 久保田則夫氏

カテゴリートップへ

この連載の記事
ピックアップ