このページの本文へ

シグネチャレスのPCセキュリティ製品、マルウェア検知/隔離の機能を強化

パロアルト、エンドポイント防御製品「Traps」最新版を発売

2016年09月15日 07時00分更新

文● 大塚昭彦/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 パロアルトネットワークスは9月14日、企業向けエンドポイントセキュリティ新版「Traps v3.4」の国内提供を開始した。新たに機械学習を利用した静的解析機能、検出したマルウェアの自動隔離/削除機能などが追加され、未知の脆弱性を突くゼロデイ攻撃や最新マルウェアに対抗する防御性能を強化している。

 Trapsは、Windows/Windows Serverプラットフォームにおいて、「エクスプロイト(OSやアプリケーションの脆弱性を突く攻撃)の実行阻止」、標的型攻撃メールなどでだまされたユーザーによる「マルウェアの起動阻止」という2つの手段で、エンドポイントのセキュリティ侵害を未然に防ぐ製品。パロアルトの脅威インテリジェンスクラウド(データベース)である「WildFire」とも連携し、シグネチャレスでコードの静的解析や実行ファイルの動的解析などを行うことで、旧来型のアンチウイルス製品では対応が難しかったゼロデイ攻撃や最新マルウェアへの対抗力を備える。

Trapsでは「エクスプロイト実行阻止」「マルウェア起動阻止」という2つの手段でエンドポイントを保護する

昨年も多くのゼロデイ脆弱性を発見、ブロックしている

 今回の新版では、上記2つのうち「マルウェア起動阻止」機能に関連する幾つかの新機能が追加されている。

 従来バージョンのTrapsでは、企業のIT管理者が実行を許可している実行ファイル以外(つまり未知の実行ファイル)はすべてWildFireクラウドに送信され、クラウド上で動的解析処理を行ったうえで実行の可否を判断していた。しかし、クラウド上で実行してそのふるまいを見る動的解析には最大で「5~6分」の時間がかかるため、円滑な業務の妨げになるという課題があった。

 新版では複数の機能を追加してこれを改良し、安全なものである可能性が高い実行ファイルに関しては、WildFireでの動的解析の結果を待たずに実行を許可するようになった。信頼できる作成者のコード署名が確認できれば、WildFireクラウドに送付することなく実行を許可する。

 また、エンドポイント上で実行ファイルの静的解析を行い、数百のファイル特性が安全なファイルのパターンと合致すれば実行を一時的に許可する(並行してWildFireでの動的解析も行う)。なお、この「安全なファイルのパターン(特徴量)」は、毎月1億以上のサンプルファイルを収集しているWildFireが機械学習で抽出したものが提供されており、精度は高いという。

Traps新版では「マルウェア起動阻止」に新機能が追加され、WildFireの動的解析完了を待つケースが少なくなった

 加えて、新版ではマルウェアファイルの自動隔離/削除機能も追加された。従来バージョンでは、Trapsがマルウェアファイルを検知したあと、ユーザーの手作業または他社ソフトウェアの機能で隔離/削除しなければならなかったが、Traps単体でこの処理が可能になった。

 Trapsの価格はオープン。グローバルではすでに中堅~大規模企業を中心として約500社の導入実績がある。

WildFireを中核に、包括的なセキュリティプラットフォームを提供する戦略

 発表会では、米パロアルトのSVPであるジョン・ナッサー氏やパロアルト日本法人 社長のアリイ・ヒロシ氏が、同社が考える統合的な「次世代セキュリティプラットフォーム」の姿とTrapsの位置付け、国内市場における戦略を紹介した。

米パロアルトネットワークス サーバーセキュリティセールス SVPのジョン・ナッサー(John Nassar)氏

パロアルトネットワークス 日本法人 代表取締役会長兼社長のアリイ・ヒロシ氏

 パロアルトの考える次世代セキュリティプラットフォームとは、4万台以上の次世代ファイアウォールから脅威情報やファイル検体を収集するWildFireクラウドを“心臓部”として、この脅威インテリジェンスと密に統合されたネットワークセキュリティ(PA次世代ファイアウォール)、エンドポイントセキュリティ(Traps)、SaaSセキュリティ(Aperture)、脅威アナリティクス(AutoFocus)の各製品を展開することで、エンタープライズに対する包括的なセキュリティを提供するというものだ。

WildFireクラウドを心臓部として、包括的なセキュリティプラットフォームを実現していく狙い

 すでに次世代ファイアウォール市場で高いシェアを持つパロアルトだが、ナッサー氏は、エンドポイントセキュリティ市場には大きな可能性があると説明する。IDCの予測では調査会社のパイパー・ジェフリーが実施したCIO調査では、今年(2016年)投資を増やすセキュリティ製品として「エンドポイントセキュリティ」という回答がトップ(81%)になっている。

 ナッサー氏は、パロアルトではすでに3万4000社の顧客企業/組織を持つが、上述したような包括的プラットフォームを持つことで「市場シェアだけでなく、それぞれの顧客の“ウォレットシェア”も獲得している」と自信を見せた。各顧客の“財布(ウォレット)”に占めるシェア、つまりセキュリティ予算の大部分をパロアルトがいただく、という戦略だ。実際、顧客単位での平均売上高を見ると、パロアルトは競合他社の数倍も高いのだという。

ナッサー氏が示した、顧客単位の平均売上比較。公開情報(売上高、顧客数)からの推計ではあるが、パロアルトの顧客単価は高い

 さらにナッサー氏は、脅威インテリジェンスを中心にプラットフォームを構成することで、従来のように脅威(攻撃)が発生してから反応するのではなく、誰が、何のためにといった背景も含めて理解し、「事前防御(Prevention)」を実現していくことが重要だと説明した。攻撃を受けてしまうと、たとえ被害が生じなくても修復などの対応に時間を取られるからだ。

 アリイ氏も同様に、従来のセキュリティアプローチは、異なるベンダーから複数のポイントソリューションを導入し、受動的なモニタリングを行うものであり、人員もコストも余分にかかっていたことを指摘。攻撃者側ではよりローコストな攻撃が可能になっている現在、こうしたアプローチを改め、「アタックライフサイクルを『事前に』止めるべき」だと強調した。

 なお、国内市場においては昨年5月のTraps販売開始以後、パートナープログラムに「Traps認定資格」を追加し、これまでに5社が認定パートナーになっているという(グローバルでは35社)。また、1年間で13回のTraps無償トレーニングを実施し、パートナー企業から通算で177名が参加した。アリイ氏は今後、製造、金融、サービスプロバイダーという注力分野に対し、Trapsを含むセキュリティプラットフォームの導入を促進していくと、方針を語った。

カテゴリートップへ

  • 角川アスキー総合研究所
  • アスキーカード