ファイア・アイでは昨年11月、サンドボックス型セキュリティ製品の中核技術である「MVXエンジン」の大幅な改良と、エンドポイント向け製品の最新版「HX v3.0」提供開始を発表した。これらがどのような意味を持つのか、また今後のロードマップはどうなっているのか、ファイア・アイの3氏に聞いた。
(左から)ファイア・アイ ソリューション・アーキテクト プロダクトセールススペシャリスト APJの田中克典氏、同社 技術本部 第一エンタープライズ・システム部 シニアシステムズエンジニアの寺田大地氏、同社 プロダクトセールススペシャリストの堀田昌昭氏
モジュール化により高速化、早期の攻撃への対抗力も高めた新MVXエンジン
「2004年の提供開始からあまり大きく変わっていなかったMVXエンジンのアーキテクチャを、今回、大幅に改良しました」(シニアシステムズエンジニアの寺田氏)
ファイア・アイの主力製品には、Webゲートウェイセキュリティの「FireEye NXシリーズ」、メールゲートウェイセキュリティの「同 EXシリーズ」、ファイルコンテンツセキュリティの「同 FXシリーズ」などがある。これらの製品が採用する中核技術の1つが、仮想化技術を用いて未知の脅威を発見する「MVX(Multi-Vector Virtual Execution)エンジン」だ。
MVXエンジンの概念図(同社パンフレットより)。多数の仮想マシン内で実際にファイルを実行/展開してそのふるまいを観察することで、未知のマルウェアなどを検知できる
今回のアーキテクチャ変更は、MVXエンジンを「モジュール化」することで、次々に発生する新たなタイプの脅威にもすばやく対抗できる仕組みを作ることが目的だと、寺田氏は説明する。「エンジンそのものを迅速にアップデートしていくことのできる仕組みが整いました」(寺田氏)。
具体的には、グローバルな脅威インテリジェンス共有のためのクラウド「Dynamic Threat Intelligence(DTI)」を通じて新たな脅威の発生を捕捉し、その脅威に対応した検出モジュールを迅速にリリースしていく。これにより、初期段階の(発生したばかりの)攻撃を検出する能力が従来比で5倍に向上するという。
もう1つ、エンジンのモジュール化によって、複数種の解析処理を並列実行する能力が高まり、解析パフォーマンスの向上というメリットも生まれている。発表によると、新エンジンの採用により、NXシリーズのWebトラフィック分析速度は3倍に向上する。「企業ネットワークの広帯域化が進んでおり、そうした広帯域の環境にも耐えられるように、エンジンの改良でパフォーマンスとスケーラビリティを向上させている」(寺田氏)。
この新しいMVXエンジンはまず、WebセキュリティのNXシリーズで提供される。その後、メールセキュリティのEXシリーズなど他製品でも順次展開していく。
Webゲートウェイで未知の脅威を検出する「FireEye NXシリーズ」(画像はNX 7420)
そのほか、新エンジン搭載のNXシリーズでは、モバイルを視野に入れた脅威防御機能も強化されている。具体的には、不正なAndroid/iOSモバイルアプリによるC&Cサーバーへのコールバック通信の検出機能、クラウドサービスとの連携によるAndroidアプリ(apkファイル)ダウンロード時の検査機能などを備えるという。
加えて、脅威検出時にDTIから提供される脅威付加情報(インテリジェンスコンテキスト)が10倍に増え、アラートに対するユーザーの的確な対応を支援する。「これまでは〔マルウェアファイルなどの〕オブジェクトの情報だけだったが、今後はコールバック通信に関する情報も提供できるようになる」(寺田氏)。
(→次ページ、事後対応からライブ対応、そして“事前対応”へ進化するHXシリーズ)
