特別企画
優れた技術の組み合わせで顧客に最適な価値を――、トップベンダーとの協業を推進するアライドテレシスのUTM戦略
2017年8月30日 06:00
露に研究開発機関を持つKASPERSKY LAB UK Limited(以下、Kaspersky)は、マルウェア対策ソフトウェアなどのセキュリティ製品を開発し販売しているベンダーだ。また、自社での製品提供にとどまらず、ネットワーク機器などのハードウェア、ほかのセキュリティソフトウェア、あるいはサービスなどへのOEM提供にも力を入れている。
こうしたKasperskyがOEMで提供するセキュリティ技術について、Kaspersky LabのAndrew Dai氏に話を聞いた。また、そのKaspersky製品をセキュリティ機能の1つとして採用した、アライドテレシスのUTM&VPNルーターを紹介しよう。
精度重視のファイルベース技術と速度重視のストリームベース技術
Kasperskyは、取締役会長兼最高経営責任者(CEO)であり、セキュリティ分野の著名人であるユージン・カスペルスキー氏によって、1997年に設立された。今年でちょうど20年にあたる。「世界で約3700人の従業員がおり、欧州最大のセキュリティ企業です。また、世界最大級のセキュリティ企業の中で唯一の非公開企業です」とDai氏は説明する。
Dai氏は、Kasperskyの技術力と、製品の能力に自信を見せる。「第三者機関によるテストにおいて、Kaspersky製品は最高レベルの検知性能を示しています」とDai氏。たとえばAV-TESTのテストでは、2016年度には4部門で最高賞を獲得し、受賞が通算100回となった。そのほか2016年には、AV-ComparativesやSELabs、MRG Effitasなど、78件の独立系のテストを受け、70件でトップ3を、55件で1位を獲得したとのことだった。
「欧州では現在、サイバー犯罪やサイバーテロと戦っており、われわれは国際刑事警察機構(ICPO、インターポール)や欧州刑事警察機構(ユーロポール)のパートナーとなって協力をしています。マルウェアの研究も続けており、毎日数十万件のサンプルを分析しており、サイバー犯罪と戦うのを助けています」とDai氏はKasperskyの取り組みを語った。
こうした技術を、Kasperskyブランドで販売する製品に反映するほか、他社のハードウェアやソフトウェア、サービスなどへのOEM提供にも投入している。
KasperskyがOEM提供している技術のうち、使われることが多いのが「KAV(Kaspersky Anti-Virus) SDK」と「SafeStream II」の2つだ。両者ともKasperskyで開発された技術だが、異なる性質を持ち、違う用途で使われる。
KAV SDKは、ファイルベースで検査するウイルス対策ソリューションで、最も重視するのは検出率となる。「シグネチャのデータベースや、スキャンエンジン、圧縮展開エンジンなど、複数のエンジンから構成されている」とDai氏は説明した。
一方のSafeStream IIは、ストリームベースのウイルス対策ソリューションで、ネットワークトラフィックの検査に使われる。最も重視するのは処理性能、つまり処理の速さとなる。
SafeStream IIでは主に2種類のマルウェアデータベースが使われているという。1つめのデータベースが「ITW(In The Wild)」で、その名のとおり「野生の」危険なマルウェアのパターンを収集したものだ。2つめのデータベースが「UDS(Urgent Detection System)」で、危険度の高いマルウェアの情報が集まっている。
「KAV SDKとSafeStream IIを組み合わせることで、高い検出率と高速な処理が実現できます」とDai氏は語る。
さらに、KAVやSafeStream IIなど、Kasperskyのセキュリティソリューションのコアにある技術として、Dai氏は「KSN(Kaspersky Security Network)」についても解説した。世界中の、許可を得たエンドポイントや、デコイから収集したデータをリアルタイムに、機械学習などを用いて分析して、マルウェアのシグネチャを作成する。このシグネチャがKAVやSafeStream IIなどに使われているという。
アライドテレシスのUTM&VPNルーターに搭載
こうしたKasperskyのセキュリティ技術を組み込んだネットワーク機器の1つに、アライドテレシスのUTM&VPNルーター製品「AR3050S」「AR4050S」がある。
AR3050S/AR4050Sは、次世代ファイアウォール機能を備えたUTM&VPNルーターだ。CPUやメモリなどの搭載量が異なり、AR3050SはCPUがMIPS64 800MHzで1GBメモリ、AR4050SはCPUがMIPS64 1.5GHzで2GBメモリとなっている。VPNとしては、IPsecやL2TPv3、SSL-VPNに対応。1WAN回線で機器冗長が可能なバイパスシステム構成にも対応する。
またUTMとして、ファイアウォールやIDS(侵入検知)/IPS(侵入防止)の機能を持つ。SPI(Stateful Packet Inspection)やアプリケーションコントロール、Webコントロール(URLフィルタリング)、IPレピュテーション(IPアドレスブラックリスト)など、さまざまなセキュリティ機能を利用可能だ。これらの機能は、サブスクリプションライセンスを購入することで利用可能になる。
さらに、ネットワーク上のスイッチやルーターを1台の機器であるかのように統合管理できる独自の仕組み「Allied Telesis Management Framework(AMF)」にも対応。ほかのアライドテレシス製機器とあわせて管理できる点も特徴だ。
最近では、SDNを利用したセキュリティソリューション「Secure Enterprise SDN(SES)」とも連携を可能にした。AR3050S/AR4050Sの持つセキュリティ機能で脅威を検出した際に、SDNコントローラに通知し、コントローラが各ネットワーク機器を制御して当該通信を遮断。マルウェアに感染したPCそのものを隔離しLAN内での拡散防止をする、といったネットワーク全体でのセキュリティ向上が可能になっている。
このように多機能なAR3050S/AR4050Sだが、UTM機能の1つとして、KasperskyのKAV SDKとSafeStream IIの技術も採用されている。
アライドテレシスでは近年、もともと高い評価を得ているネットワーク製品に、セキュリティの分野で実績を持つベンダーの技術を導入することで、さらに高い価値をユーザーに提供しようと、取り組みを進めてきた。例えばURLフィルタリングの分野では、国産セキュリティベンダーとして国内トップクラスのシェアを持つ、デジタルアーツのフィルタリングデータベース技術を採用している。
今回のKasperskyとの協業も同様で、KasperskyのDai氏も、「ネットワークのスペシャリストであるアライドテレシスと、セキュリティのスペシャリストであるKasperskyとの最高の組み合わせです」と語る。
なお今回、KAV SDKはKasperskyのエンジンおよびシグネチャを利用。SafeStream IIはシグネチャのみを利用して、エンジンはアライドテレシスのIPS機能などと共通のエンジン上で動作させ、さらなる高速化を図っている。
こうしてKasperskyのマルウェア検知技術を採用することで、ゲートウェイとなるルーターにより、高い精度でマルウェアをチェックして処置できるようになるわけだ(KAV SDKとSafeStream IIのライセンスは別途購入が必要)。