フォーティネット、標的型攻撃対策のサンドボックスマシン投入

標的型攻撃に使われる未知の不正プログラムの検出ではサンドボックス（仮想環境）が有効策の1つされるが、解析処理での高い負荷に課題があった。同社ではUTMと連携した効率的な処理を実現する説明する。

[國谷武史，ITmedia]

　フォーティネットジャパンは1月28日、持続的な標的型サイバー攻撃の対策製品となるサンドボックスアプライアンス「FortiSandbox-3000D」を発売した。参考価格（バンドル相当）は2512万6000円としている。

FortiSandbox-3000D

　新製品は、持続的な標的型サイバー攻撃に使われる不正プログラムを検出するためのサンドボックス（仮想環境）解析を企業などのローカルネットワーク上で行えるセキュリティアプライアンス。メールやWebなどから企業ネットワークへの侵入する不審なファイルをサンドボックス内で実行して挙動などを解析し、不正プログラムの検知や遮断を行う。管理者へのレポート機能などを搭載する。

　持続的な標的型サイバー攻撃に使われる不正プログラムは、攻撃者によって標的ごとにカスタマイズされている場合が多いとされ、一般的に定義ファイルを用いたウイルス対策ソフトなどでは検知が困難とされる。このため、サンドボックス内で実行してその挙動を解析する対策技術が注目されるようになった。だが、サンドボックス解析は処理の負荷が高いという課題も指摘されている。

　同日の製品説明会で米Fortinet グローバルセキュリティストラテジストのデレク・マンキー氏は、サンドボックスによる標的型サイバー攻撃対策について、同社では3段階のアプローチ――（1）UTMや次世代ファイアウォールで脅威の影響を緩和、（2）サンドボックスでの解析と検知、（3）万一の場合に情報セキュリティ機関と連携した迅速な対応――を採用していると述べた。

フォーティネットのアプローチ

　不審なファイルについて、まずUTMのマルウェア対策やWebフィルタリング、次世代ファイアウォールのアプリケーション識別といった機能で脅威の有無を調べる。ここで検知されなかった場合に、次にサンドボックスでより本格的な解析を行うことで、処理の負荷を抑制するようにしている。サンドボックスでも検知を逃れた脅威については、同社の脅威解析チームが世界のセキュリティ機関と連携して対処することで、ユーザー企業での被害抑止に可能な限り努めていくという。

デレク・マンキー氏

　「新アプライアンスは単独でも運用できるが、UTMなどと連携することで独自の対策を講じられ、当社のテストでは96％の脅威をブロックした。他社製品ではいきなりサンドボックスで解析するケースも多く、解析に数分程度を要するが、今回の新製品では秒単位で可能だ」（マンキー氏）

　なお、同社はUTMアプライアンスでもサンドボックス機能を提供しているが、こちらは簡易的な解析がメインとなっている。ユーザーは脅威対策方針に基づいてどちらの機能でも柔軟に利用できると説明している。