パロアルト、サンドボックス技術「WildFire」のアプライアンス版

技術本部長の乙部幸一朗氏

WildFireアーキテクチャ

　パロアルトネットワークス合同会社（以下、パロアルト）は18日、サンドボックス技術によってAPTの検出・分析・防御を行うクラウド型サービス「WildFire」のプライベートクラウドで実現する「Palo Alto Networks WF-500アプライアンス」を発表した。

　WildFireは、同社次世代ファイアウォール（NGFW）「PAシリーズ」のユーザーに無償（有償のオプション機能あり）で提供されるサンドボックス技術。NGFWが不審なファイルを検出すると、ファイルがクラウドにアップロードされ、同社のシステムと専門家が分析する。マルウェアまたはAPTであると判定されるとファイルのシグネチャが生成され、WildFireを利用しているユーザーのNGFWに自動送信される。これにより、新しく検出されたマルウェアとその亜種、マルウェアが生成するトラフィック（一意のドメインクエリなど）、C＆CとDNSトラフィックなどの脅威をブロックできるという。

　WF-500アプライアンスは、クラウドベースのWildFireを採用できないユーザーへの対応を目的に設計された。WildFireはファイルを原則すべてクラウドにアップロードして分析を行う（ただし、ポリシー設定によってアップロードしないファイルを指定することも可能）。それに対して、WF-500アプライアンスは、社内に設置された筐体内で分析を行い、マルウェアと判定された場合にその分析結果と検体のみをクラウドに送信する。

　「いかなる理由でもファイルを社外に送信できない」「予算に限度は設けず、できる限りのセキュリティ対策を打ちたい」「サンドボックスの運用を自社で行いたい」「すでに利用している他社サンドボックス製品を置き換えたい」といったニーズに応えると、技術本部長の乙部幸一朗氏は語る。

　WF-500アプライアンスを使用するためのPAシリーズ側の要件はPAN-OS 5.0.3以降。WildFireサブスクリプションが必要。サブスクリプションはWildFireの有償オプション機能を利用するためのライセンス。無償版のWildFireは、ファイルをクラウドへアップロードして分析を行うまでのものとなり、マルウェアなどが発見された場合にシグネチャを配信してもらうためには、有償オプションが必要となる。WF-500アプライアンスでは、この有償オプションが最初から含まれる形となる。

WF-500アプライアンス

概要

脅威に対するパロアルトの統合的かつ多層的な防御アプローチ

　なお、パロアルトではサンドボックス技術は抜け道があり、あくまで補完機能の1つ。ファイアウォールやアンチウイルスとの併用が前提と指摘する。「サンドボックス技術に対しては、それをすり抜けるために、マルウェアのファイルを分割・暗号化・サイズを大きくして検査できないようにしたり、そもそもWebとメール以外の通信、例えば独自暗号を利用するP2P（SkypeやIMなど）、ファイル共有（Dropboxなど）などは検査できないのが現状」（乙部氏）とのことで、脅威に対してはPAシリーズも含めた統合的かつ多層的な防御アプローチが求められるという。

　今回のWF-500アプライアンスは、PAシリーズを補完し、かつクローズドループでサンドボックス技術を利用したいというユーザーに向けた製品という位置付けとなる。