このページの本文へ

5分間に約1万種発生するマルウェア亜種に“ほぼゼロ遅延”の機械学習技術+インライン検知で対抗

パロアルト、次期PAN-OSは「機械学習+セキュリティ+IoT」で大幅強化

2020年07月07日 07時00分更新

文● 谷崎朋子 編集● 大塚/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

 パロアルトネットワークスは、同社の次世代ファイアウォール(NGFW)向けOSの次期バージョン「PAN-OS 10.0」で、70以上の新機能を追加する。中でも肝となるのが「機械学習技術の実装」だ。同社のクラウド型サンドボックスソリューション「WildFire」や脅威データベースなどと連携しながら、次々に発生するマルウェア亜種に対して“ほぼゼロ遅延”の防御を実現するという。さらに、これはIoTデバイスの保護にも応用される。提供開始は7月中旬頃の予定だ。

パロアルトの次世代ファイアウォール(NGFW)AOS最新版「PAN-OS 10.0」。“機械学習技術で強化された世界初のNGFW”をうたう

「かつてないスピードで脅威をブロックする」新たなアプローチ

 「NGFWのコアとなるOSに機械学習機能を実装するのは、世界初。まさに、ネットワークセキュリティの概念を刷新するアップデートだ」。そう断言するのは、米パロアルトネットワークスの最高製品責任者、リー・クラリッチ(Lee Klarich)氏だ。

米パロアルトネットワークス、最高製品責任者、リー・クラリッチ(Lee Klarich)氏

 背景には、ポリモーフィック/ミューテーション型マルウェアの進化にある。この種のマルウェアは感染のたびにコード部分を異なる鍵で暗号化し、パターンマッチングによる検出を回避する。パロアルトの調査では、いまや5分間で9800以上もの亜種が発生しており、従来の検出方法では対応しきれなくなっている。

 この課題に対し、パロアルトはこれまでシグネチャアップデートの高速化で対抗してきた。当初は24時間おきの更新だったものを1時間おきに短縮。その後、30分おき、5分おきと更新間隔を短縮してきた。

 それが今回のアップデートで“実質ゼロ”になる。NGFWとクラウドの機械学習機能をインラインでつなぐことで、グローバル導入されるNGFWで検知された既知/未知のマルウェアの情報が共有され、アップデートがかかる仕組み。クラリッチ氏は「実際のところアップデート処理に5秒程度はかかるが」と前置きしつつ、インライン処理なので他のパフォーマンスに影響を与えず、かつてないスピードで脅威をブロックできることは間違いないと強調する。

 また、これらの情報はクラウド上のURLフィルタリングやDNSセキュリティといった各種セキュリティソリューションとも共有され、保護に活用される。結果的に最大95%の脅威を排除できるという。

従来は5分おきだったシグネチャ更新を「数秒」単位に短縮、ほぼゼロ遅延で脅威をブロック

クラウド上のセキュリティソリューション群とも自動的に情報共有を行う

買収製品の統合によりIoTデバイス保護も機械学習で強化

 機械学習技術は、追加されたIoT保護機能でも採用されている。同機能は、監視対象のネットワーク内にあるIoTデバイスを検知、分類、通信状況を可視化し、機械学習した平常時の挙動とは異なるものを検出。機械学習時に自動生成した防御ポリシーに基づき、保護を実行する。サブスクリプション方式で、PA-SeriesやVM-SeriesなどPAN-OSに対応した次世代ファイアウォール、またはSASEサービス「Prisma Access」で利用できる。

IoTデバイスを可視化し、異常を検知、防御ポリシーで保護

 同機能は、2019年9月に買収完了した米ZingboxのIoTセキュリティソリューションと、パロアルトのApp-IDテクノロジーとの組み合わせで実現した。

 「さまざまな種類のIoTデバイスを配置したテスト環境で検証した結果、特殊なプロトコルで通信するものも含めて検出したのがZingboxだった。多くのベンダーはあらかじめ登録しているデバイス情報に基づき検知するが、Zingboxは独自の機械学習アルゴリズムを使ってIoTデバイスの正常時の通信を分析、学習して異常を検知する。いわゆる”シグネチャ”に依存しない検知に大きな可能性を感じた」(クラリッチ氏)

 IoTで課題となる脆弱性だが、これについては「まずソフトウェアのバージョンが最新かどうかをチェックし、さらに現在あたっているものと最新版が出るまでの間にCVE(共通脆弱性識別子)が公開されているかを確認。深刻度などを総合評価した上で、対応の優先度を提示している」とのこと。「ファームウェア更新を自動化することも考えたが、すぐに適用してもよいかどうかは運用環境によって異なるので、十分な判断ができるだけの情報を提示することに徹した」(クラリッチ氏)

 対象デバイスは、監視カメラやプリンター、IP電話といったオフィスで一般的に使われているものから、監視制御システム(PLC、SCADA)、医療機器(CTスキャン、生態情報モニターなど)、ATM端末まで幅広く対応。IT部門が把握していないところでIoTデバイスが導入されたとしても、漏れなく保護下に置くことが可能だ。

カテゴリートップへ

ピックアップ