パロアルトネットワークスがPC／サーバ向け対策製品、ウイルス対策の置き換え狙う

定義ファイルを使わずエクスプロイトの実行やマルウェアダウンロードを阻止するという。

[國谷武史，ITmedia]

　パロアルトネットワークスは5月19日、WindowsのPC／サーバ向けセキュリティ対策の新製品「Traps」の国内提供を発表した。法人ユーザーなどに定義ファイルベースのウイルス対策製品からの移行を訴求する。

　Trapsは、ソフトウェアの脆弱性を突くなどのエクスプロイト攻撃やマルウェア侵入の阻止を目的としたセキュリティソフトウェア製品。定義ファイルは使わず、OSやアプリケーションのプロセスなどをリアルタイムに監視して不正な行動の検知と実行をブロックする。また、攻撃検出後の解析作業を支援する機能も備える。

製品概要

　メモリ上のフットプリントが25Mバイト程度と軽量なのが特徴で、仮想マシンでも利用できるという。同社ではMicrosoftがサポートするWindowsの各バージョンの他に、サポートが終了しているXPでの使用でもサポートするとしている。

　記者会見したエバンジェリスト兼テクニカルディレクターの乙部幸一朗氏は、「日本企業を狙った標的型サイバー攻撃が増加し、特に脆弱性を突く手法が目立つ。2014年にウイルス対策ソフトメーカーが『製品ではマルウェアを検知できない』と発言して話題になったが、当社もその実態を認識している。新製品は広範な攻撃手法人対応してその実行を止める」と説明する。

　従来型のウイルス対策ソフトは、メーカーが認定したマルウェアのリスト（定義ファイル）を使って疑わしいファイルなどをスキャンし、マルウェアの検出と駆除を行う。しかし、昨今では新型マルウェアが1秒間で幾つも出現する状況となり、定義ファイルの作成が追い付かない。そのため、メーカー各社では定義ファイル以外にも複数の検出手法を使って対応している。MicrosoftのWindows Defenderのように定義ファイル型のウイルス対策機能を無償提供するメーカーも多い。

膨大なマルウェアに比べるエクスプロイトの数は少ない。攻撃では幾つかのエクスプロイトが使われるため、1つのエクスプロイトを止められなくても別のエクスプロイトで止めることで、攻撃を無効化させるという

　Trapsは、パロアルトネットワークスが2014年に買収したイスラエルのCyveraの技術をベースにしており、製品単体でも利用できるが、パロアルトネットワークスの次世代ファイアウォール製品やマルウェア解析サービスと組み合わせることで、ネットワーク上でのサイバー攻撃の遮断、解析サービスによる新型マルウェアへの迅速な対応を含むPC／サーバの包括的なサイバー攻撃対策が可能になるとしている。

　米国などの市場で既に提供しており、「業界規制などによってウイルス対策ソフトを使い続けている企業もあるが、Trapsと無償のウイルス対策ソフトによる対策に移行してセキュリティ強化とコストダウンに成功している顧客企業が出ている」（米Palo Alto Networksプロダクトマーケティングディレクターのセバスチャン・グッドウィン氏）という。

　Trapsのような製品は、近年になってセキュリティソフトメーカーから提供されるようになり、既存製品に機能として組み込むようになった。無償ツールではMicrosoftの「EMET」（Enhanced Mitigation Experience Toolkit）がある。システムエンジニア・スペシャリストの池永彰氏は、「ウイルス対策ソフトと併用することもできるが、Trapsだけで90％台後半の検出精度を実現している。大半のアプリケーションでは誤検知などの問題は起きないが、企業固有のアプリケーションでは事前にチューニングすることでほとんど問題ない」と話す。

4月に発覚したFlash Playerの脆弱性を突くエクスプロイトをTrapsで阻止したデモ

　新製品は大日本印刷、テクマトリックス、ネットワンシステムの3社から販売されるが、時期や価格などは各社で異なる。パロアルトネットワークスでは金融機関や製造業などでの利用を見込んでいる。