シマンテックは、新たな高度脅威防御テクノロジー「Symantec Advanced Threat Protection(以下、Symantec ATP)」を12月18日に提供開始する。
Symantec ATPでは、従来の水際対策(侵入阻止)では限界があると考え、脅威に侵入されることを前提に、事態発生後いかに素早く回復できるか、「Resilience(回復力)」に重点を置いた。
併せて、誰もが「Simple(直感的)」に扱えることを重視。シマンテック 執行役員 エンタープライズセキュリティ事業統括本部 セールスエンジニアリング本部長の外村慶氏は「昨今、大企業を狙うために中小企業が踏み台とされるように、あらゆる業種・規模の企業が標的となる。大企業なら大きな投資で解決できるかもしれないが、中小企業には資金もスキルも限りがあり、セキュリティの格差が生まれてしまっている。誰もが等しく標的型攻撃に対抗するためには、レジリエンス×シンプルなソリューションが必要だと考えて、Symantec ATPは開発された」と、製品の狙いを語る。
外村慶氏
Symantec ATPは、新たに開発された「クラウド型ベアメタルサンドボックス(CYNIC)」「クラウド型相関分析エンジン(SYNAPSE)」「エンドポイント回復技術(EDR)」という3つの要素で構成される。
加えて、既存のクラウド型メールゲートウェイ「Symantec.Cloud Email Security」や、エンドポイント対策「Symantec Endpoint Protection(SEP)」と連携することで、メール/ネットワーク/エンドポイントにおける脅威の相関分析、優先度付け、半自動化された回復を実現する。
Symantec ATPの機能概要図
具体的に脅威を分析し、侵害を回復するまでの流れは以下の通りだ。
まず、メールを媒介する脅威についてはクラウド型メールゲートウェイで標的型攻撃の特定調査分析を実施。一方、ファイルという形でネットワークを伝って侵入してくる脅威には、ユーザーの環境内に設置されたSymantec ATPアプライアンスが検査を行う。
検査手順は最初に既知の脅威をはじいたうえで、レピュテーションや機械学習で疑わしいと判定されたファイルを、クラウド型ベアメタルサンドボックスの「CYNIC」へ。
CYNICは、「ベアメタル」の名称が示す通り、物理環境として用意されるサンドボックスで、仮想環境であることを見抜いてサンドボックスの検査をすり抜けようとするマルウェアも確実にとらえられるという。今回初めて提供する技術だ。
既知の脅威をはじいて、疑わしいファイルを「CYNIC」で解析
一方、SEPでもエンドポイントのセキュリティ情報が収集され、Symantec ATPには、メール、ネットワーク、エンドポイントにおける脅威データが集約される形となる。
ダッシュボード画面例
インシデントの概要が分かる画面例
そこでクラウド型相関分析エンジン「SYNAPSE」を適用。対処すべきインシデントだけを特定し、優先順位をつけてくれる。この作業はマネージドセキュリティサービスを提供するSOCで行う作業と似ている。SOCもアナリストと呼ばれる専門家がセキュリティインシデントを分析し、それが本当に危険なものなのか、ただそう見えるだけなのかを判断し、優先順位をつけて対応している。
SYNAPSEは、SOCで十数年にわたり研究開発されてきた相関分析エンジンを「初めて製品化したもの」(同社)という。
SYNAPSEで相関分析
相関分析された脅威データは、ユーザー自身がポータルで確認できる。脅威データがリスト表示されるのではなく、脅威にさらされている端末に関連するアクティビティや、悪意あるファイルをダウンロードした端末はどれかなど、現在の状況が分かりやすい相関図で表示されるのが特徴だ。
相関分析例。左は、3台の端末で悪意あるファイルをダウンロードしている状況、右は、1台の端末が複数の悪意あるファイルをダウンロードしている状況を示す
社内で実際にセキュリティインシデントが発生しているようなら、このポータルから直接「回復」のためのアクションが実行できる。その対応策は「隔離」「ブラックリスト」「削除」の3パターンだ。
「隔離」では、マルウェアに感染するなどの侵害を受けたと思しき端末を、端末にインストールされたSEPと連携して、遠隔から隔離できる。隔離された端末はネットワークから隔絶されるため、脅威を閉じ込めることができる。
「このような仕組みがない場合、物理的に端末を特定し、問い合わせをして、現地でネットワークケーブルを抜くといった作業を行う。その作業をリモートから行えるため、作業負荷を大きく軽減できる」
「隔離」のデモ。ポータルからの遠隔操作で特定の端末をnetworkから切り離せる。右は端末にインストールされたSEPが制御指示を受け、実際に端末を隔離した様子
「ブラックリスト」では、悪意のあるファイルをブラックリストに登録して、以後のダウンロードを禁じる。さらにそうしたファイルを遠隔から消去できるのが「削除」で、Symantec ATPの管理下にある数千台・数万台のPCから一斉に当該ファイルを見つけ出して削除することが可能だ。この場合も、ファイルが格納されたPCを探して手作業で消して回る手間を想像してみれば、効果が分かる。
「削除」のデモ。悪意あるファイルを削除することも可能。管理下にあるPCのHDDを精査して、当該ファイルを消去する
シマンテックでは「誰もがインシデント対応を行えて、応急処置運用を簡潔・シンプルに実現した。回復処置まで完全にシームレスな点が同製品の特長だ」と語る。
製品ラインアップは、1U/2モニターポート/500Mbpsに対応する「アプライアンス モデル8840」、2U/4モニターポート/2Gbpsに対応する「アプライアンス モデル8880」、無償で提供される「バーチャルアプライアンス」が用意される。「モデル8840」なら数千名規模、「モデル8880」なら数万名規模の利用に対応するという。
これと併せて、ユーザーライセンスが必要となる。ユーザーライセンスは、ネットワーク/エンドポイントの2カ所を保護する場合が年間8300円/ユーザーから、ネットワーク/エンドポイント/メールの3カ所を保護する場合が年間9700円/ユーザーから。
