ニュース
パロアルト、セキュリティの“自動化”実現に向け強化されたエンドポイント向け製品「Traps 5.0」
2018年4月12日 13:00
パロアルトネットワークス株式会社(以下、パロアルト)は12日、エンドポイントセキュリティ製品「Traps 5.0」の提供を開始した。機能強化として、クラウドベースの管理サービスの提供、Linuxへの対応、Logging Serviceとの統合などが行われたが、最大の強化ポイントは“自動化”。自社の次世代ファイアウォールとの連携を深めるなど、セキュリティ全体の合理化、最適化に注力する中で、自動化を実現している。
米Palo Alto Networksのワールドワイドサイバーセキュリティ担当シニアバイスプレジデント、ジョン・ナッサー氏は、「セキュリティに必要な変化のひとつが自動化。担当者が手動で対応することを減らしていく必要がある。特に日本では、セキュリティ分野の技術者の数が足りないと聞いている。セキュリティ自動化は必須といえるのではないか。これを実現するためのApplication Frameworkを提供し、対応しているサードパーティ製アプリケーション、エンドユーザーのアプリケーションとも連携を実現する。セキュリティ市場に破壊的な動きを起こしたい」とアピールした。
Traps 5.0では、「戦略的視点を持って、全体の合理化、最適化を進めた。攻撃を行う犯罪者も、攻撃の際に利用するツール類を使って自動的な攻撃を行っているが、守る企業側も自動化によって効率的な対策が必要となっている」(パロアルト シニアプロダクトマーケティングマネージャーの広瀬努氏)との観点から機能強化が行われた。
主な強化ポイントは次の3点。
1)クラウドベースの管理サービスを提供
新たにクラウド上でTrapsを管理するためのサービスを提供する。Logging Serviceの100GBのログリポジトリを標準で提供することで、Trapsの組織への迅速な展開と管理の簡素化を実現する。
従来のオンプレミス版では必要だった、サーバーの運用コストと工数がゼロになった。Traps管理サービスはLogging Serviceでイベント管理を行うことが可能となり、Traps以外にも次世代ファイアウォールクラウドにも統合されるようになった。Magnifierなど追加のアプリケーションを容易に適用することもできるようになっている。
このほか、操作性/運用性も再設計され、直感的なWebインターフェイスからすべてのイベントを一覧で容易に確認できるなど、容易なイベント管理を行える。WildFire脅威レポートとの統合も行われ、ドリルダウンで脅威内容を確認することや、脅威の実際のふるまいを確認することも可能だ。
また、感染が検出された場合には早急な対応が必要になる。Trapsは感染している可能性が高いイベントをリスクの高・中・低に自動振り分けするので、早急に対応が必要なイベントをすぐに確認することができる。
マルウェアの動作詳細/イベント管理機能によって、イベントの調査漏れをなくし、マルウェアの詳細な動作を確認することができる。
さらに、脅威のスキャニング機能として、実行前の“休止状態”にあるマルウェアを特定するスキャンを行えるようにした。オンデマンド、またはスケジュールスキャンを行いWildFireと連携した検査も行う。
イベント発生後のオンデマンドスキャン、コンプライアンス要件への準拠も実施する。
なお、スキャンは負担を最小限に抑えるために、前回スキャンが行われなかったファイルのみが対象。実行前の未知ファイル分析も実施するが、PCに負担をかけないようバックグラウンドでスキャンを実施する。
2)Linuxへの対応
クラウドサービスで利用されることが多いLinuxにエージェントを対応させることで、クラウドシステム向けのセキュリティを強化した。Red Hat Enterprise Linux 6/7、Cent OS 6/7、SUSE Linux Enterprise Server12.1/12.2、Ubuntu Server12/14/16が対象。
3)Logging Serviceとの統合
エンドポイントのログは、Trapsの管理サービスによってLogging Serviceに送られ、Application Framework対応のサードパーティ製、またはユーザー製を含めた多様なアプリケーションからの活用が可能となる。パロアルトネットワークスの次世代セキュリティプラットフォームとの連携が深まり、セキュリティの自動化を実現する。
Palo Alto Networksのナッサー氏は、今回の機能向上の背景として、「セキュリティには、3つの変化が必要だと考える。誰がどういう攻撃を行ったのかといったことをきちんと把握するための解析。担当者の手動での対応を減らすための自動化。これまでのようにデバイスにセキュリティを入れるのではなくクラウドベースとすることの3点だ。そしてこの変化を実現するためには強固な基盤を持ったプラットフォームが必要となる」と指摘。
そしてそのプラットフォームとしてApplication Frameworkを提供し、サードパーティ製アプリケーション、エンドユーザー製アプリケーションとの連携も実現していくとした。
また、エンドポイントセキュリティを強化するために、イスラエルに本拠を置くSECDO社を買収した。「私自身、イスラエルに出向いて交渉を行ったが、SECDO社はセキュリティ自動化、脅威探索などEDR分野における固有の技術を研究している企業。エンドポイントの挙動の可視化、調査の自動化によって攻撃のライフサイクルを明確化するといった技術を持っている企業であり、EDR分野で他社を大きく上回る技術を手に入れることができたと考えている」とナッサー氏は話し、事業強化に大きな自信を見せている。