トレンドマイクロ、標的型攻撃の検知と対策を早くする新アプライアンス発表

メールやWebなどから侵入する標的型攻撃の脅威を検知し、対策製品にフィードバックできるという「Deep Discovery Advisor」とその導入・運用支援サービスを提供する。

» 2013年06月27日 20時12分 公開
[國谷武史,ITmedia]

 トレンドマイクロは6月27日、企業や組織を狙った標的型サイバー攻撃の対策となるアプライアンス新製品「Deep Discovery Advisor」を発表した。攻撃の分析とその結果を既存の同社製品に反映することができる。8月26日に受注を開始するとしている。

 セキュリティエバンジェリストの染谷征良氏によると、Deep Discovery Advisorは、同社がこれまでに手掛けた実際の標的型サイバー攻撃の分析で得た知見をもとに、企業や組織に新たな対策の仕組みを提供する。標的型サイバー攻撃ではターゲットにマルウェアを感染させるために、メールやWebサイトを通じてマルウェアが送り込まれる。そこでの手口はさまざまだが、感染に成功するとマルウェアは攻撃者が設置した「コマンド&コントロール(C&C)サーバ」と通信を行う。この通信にはパターンが存在する場合が多く、そのパターンを迅速に発見できれば、標的型サイバー攻撃の被害を抑止できる可能性が高まるという。

 ただし、標的型サイバー攻撃のパターンを検知するには、個々の攻撃手法を分析するだけでなく、それぞれの関係性をみた上で判断していく必要がある。従来の対策ではこの役割を同社のようなセキュリティ企業で行い、「定義ファイル」という形で製品に反映することで検知できるようにしてきた。

 標的型サイバー攻撃はごく狭い範囲がターゲットになるため、定義ファイルの作成に時間がかかる点が一番の課題になっている。このため新製品は、企業や組織の内部である程度の標的型サイバー攻撃の検知や対策強化につながる分析情報を獲得できる仕組みを提供する。これによって、従来以上に早いタイミングで攻撃への対応が取れるようになるとしている。

新製品による対策イメージ

 Deep Discovery Advisorは、既に提供しているネットワーク上で脅威の解析を行う「Deep Discovery Inspector」やメール/Webゲートウェイのセキュリティ製品、エンドポイントセキュリティ製品と連携する。「脅威解析「スレットインテリジェンスセンター」「セキュリティアップデートサーバ」という3つの主要機能を搭載している。

 まず、脅威解析機能ではゲートウェイセキュリティ製品で検知した疑わしいファイルについて、アプライアンス内部の仮想コンピュータ(32ビット版のWindows XP/Vista/7)環境で実行させてその挙動を解析する。解析に要する時間は早ければ1分程度、長ければ20分ほどかかるケースもあるという。

 脅威解析で得た結果はスレットインテリジェンスセンター機能に提供され、別に解析した結果やトレンドマイクロが保有している脅威情報と合わせて相関関係を分析する。その分析から「悪意ある攻撃」と判断されれば、セキュリティアップデートサーバを通じてメールやWebのゲートウェイセキュリティ製品やネットワーク監視製品に情報が提供され、外部ネットワークから攻撃や内部ネットワークからC&Cサーバへの通信を遮断する。

 Deep Discovery Advisorと既存の同社製品を連携させるためのアップデートが、一部製品では19日から提供されており、今後は9月までに順次提供されていくという。標準での税別製品価格は、3年間保守が提供されるもので1418万円、5年間保守が提供されるもので1508万円。次年度以降の更新費用は年間630万円となる。

Deep Discovery Advisorと連携する製品のアップデート予定

 また、同社ではDeep Discovery Advisorの導入支援サービスと、運用の改善やインシデント対応などを支援する2つのサービスも提供するという。会見したエンタープライズマーケティング部部長代行の大田原忠雄氏は、「未知の脅威を可視化することに加え、可視化した脅威の対策をいち早く反映させることを目指している」と説明した。

Copyright © ITmedia, Inc. All Rights Reserved.