9月16日、ウォッチガード・テクノロジー・ジャパン(以下、ウォッチガード)とSecuLynxは未知のマルウェアに感染したPCの特定・遮断を自動化した標的型攻撃対策の連携ソリューションを発表、提供開始した。
未知のマルウェア検知から感染PC遮断までを自動化
同ソリューションは、ウォッチガードの次世代ファイアウォール「WatchGuard Firebox」と、SecuLynxの不正機器接続防止製品「IntraPOLICE IIセンサのアプライアンス、そしてマネージャ(管理ツール)で構成される。
(手前から)ウォッチガードの次世代ファイアウォール「WatchGuard Firebox」と、SecuLynxの不正機器接続防止アプライアンス「IntraPOLICE IIセンサ」
ウォッチガードのマーケティングマネージャ 堀江徹氏は、昨今の標的型攻撃事件は外部からの通報で発覚することがほとんどで、被害に気付くころには重要な情報が漏えいしていると指摘。「いかに早く侵入を検知し、攻撃を無効化できるかが重要」と述べた。今回の連携ソリューションにより、未知のマルウェアを検知できるだけでなく、感染元のPCを強制的にネットワークから排除して感染や情報流出などを防ぐことが可能になる。
ウォッチガード・テクノロジー・ジャパン社長執行役員 根岸正人氏
連携ソリューションの構成はシンプルだ。まずゲートウェイに設置されたWatchGuard Fireboxは疑わしいファイルを検知すると、標的型攻撃対策機能「APT Blocker」を通じてLastlineのクラウドベースの次世代サンドボックスで未知のマルウェア解析を実施、マルウェアと判断された場合はIntraPOLICE IIマネージャに感染端末情報などをSNMPトラップで通知。それを受けて、管理者にはメールやネットワーク監視表示灯などで感染が通知され、同時進行でIntraPOLICE IIセンサに指示が飛び、感染が疑われるPCは社内ネットワークから強制遮断される。
ウォッチガード・テクノロジー・ジャパン システムエンジニア部 プリセールスエンジニアの正岡剛氏は「次世代サンドボックスからのフィードバックは5分程度と短く、マルウェアの横感染や機密ファイルの漏えいなどを短時間で対応、防ぐことができる」とアピール。オプションで、シグネチャベースによる既知のマルウェア検知と遮断機能も追加可能だ。
WatchGuard FireboxとIntraPOLICE IIの連携で未知のマルウェア検知や感染PCの特定・遮断を自動化
連携するIntraPOLICE IIは、マネージャ1台で2000拠点、端末25万台まで対応可能なスケーラビリティを持ち、センサにIPアドレスを設定してネットワークに接続するだけと簡単に導入できる。
「第1世代のIntraPOLICEは、警視庁の依頼で旧松下電工とラックが共同開発した製品。その後、パナソニックのベンチャー企業として設立されたSecuLynxが開発を引き継ぎ、第2世代のIntraPOLICE IIを開発した」とSecuLynx取締役の清水弘氏は話す。
SecuLynx 取締役 清水弘氏
IntraPOLICEの基本機能では、PCが通信を確立する際に送信するARPパケット内のMACアドレスをチェックし、登録済みのMACアドレスでない場合は不正PCと判断、ネットワークから強制遮断する。
この基本機能以外にも、ユーザーからのフィードバックを受けて遮断保留やNAT対応、SNMPトラップ通知、グループ管理など各種機能を追加、今回IntraPOLICE IIのバージョン4.0.1でWatchGuard Fireboxとの連携機能が追加された。
IntraPOLICE IIマネージャの監視画面。WatchGuard Fireboxとの連携により「FW連携」
2015年12月には、タグVLANへの対応が予定されている。「これにより、1台のセンサで複数セグメントを管理できるようになり、導入企業にとってはコスト負担の軽減につながる」(清水氏)。
根岸氏は今回のパートナーシップについて、「これまではゲートウェイ製品のみ提供してきたが、内部対策を加えた標的型攻撃対策ソリューションを提供できるようになった。今後は代理店の開拓含めて積極展開していきたい」と語る。
IntraPOLICE IIセンサの希望小売価格は15万円(税別)、IntraPOLICE IIマネージャは28万円(税別)。9月30日から東京ビッグサイトで開催される「ITpro EXPO 2015」のウォッチガードのブース内でデモ展示を予定している。
