トレンドマイクロ、標的型攻撃に対応する「Deep Discovery Advisor」

トレンドマイクロ エンタープライズマーケティング部 部長代行の大田原忠雄氏

　トレンドマイクロ株式会社は、刻々と変化する標的型サイバー攻撃の情報を収集し、同社既存製品の防御能力を高める仮想解析型アプライアンス「Deep Discovery Advisor（以下、DDA）」を8月26日より受注を始める。

　同社のゲートウェイ製品などと連携する脅威解析製品。ゲートウェイで検出された不審なファイルをDDAに送り、DDA内の仮想解析環境（サンドボックス）で実際に実行して解析する。

　ゲートウェイ製品側には検知力を高めるため、新しいセキュリティ技術を実装。メールゲートウェイ・Webゲートウェイの「InterScan」には、脆弱性を悪用するコードが埋め込まれた文書ファイルを検知する新型エンジンを搭載するほか、同ゲートウェイとネットワーク監視製品「Deep Discovery Inspector（DDI）」には内部に入り込んだ不正プログラムから外部のC＆Cサーバーへの通信を検知する機能を搭載する。

既存製品へ新しい検索エンジンを実装

C＆Cサーバーへの不正通信を各ポイントで検知する技術も実装

　こうして検知された不審なファイルがDDA内の仮想解析環境に送られるのだが、ここで行われる脅威解析では、実際に不審なファイルを実行して、危険な振る舞いがないかを動的に解析する。1台の筐体内に3つの仮想解析環境を構築でき、約5万ファイル/日を処理できる。また、3つの環境はそれぞれ、OSや修正プログラムの適用状況、インストールするアプリケーションなど自社のシステム環境に合わせてカスタマイズが可能。

DDA製品概要

仮想解析環境で検知されたファイルを動的に解析

　脅威解析で、不審なファイルや通信ログから抽出されたIPアドレスやURLは、危険性が高いC＆Cサーバーの情報として、DDA内の「Custom CCCA」データベースに登録される。このデータベースが「セキュリティアップデートサーバー」となり、登録された情報をInterScanやDDI、エンドポイントセキュリティ製品「ウイルスバスター コーポ―レートエディション」、サーバーセキュリティ製品「Deep Security」にフィードバックする。これにより、同社既存製品の防御能力を高められるというわけだ。

全体図。ゲートウェイやネットワークセンサーから不審なファイルが送られ、DDAで解析・登録。その情報が同社既存製品へフィードバックされる

　トレンドマイクロ エンタープライズマーケティング部 部長代行の大田原忠雄氏は、標的型サイバー攻撃への対策ポイントとして「個々の攻撃手法やツールに応じた対策は大前提」「攻撃基盤と通信の特徴に応じたアプローチが対策のカギ」「攻撃手法、ツール、攻撃基盤、通信の特徴の関連性から危険を察知できる対策が必要」の3点を挙げる。

　DDAを中心とした同ソリューションは「攻撃基盤と通信の特徴に応じたアプローチ」を実現するまさにカギとなる。しかし、C＆Cサーバーへの通信をブロックするのは、あくまで対症療法だ。さらに攻撃手法から今後の攻撃を予測し対処する原因療法が必要となる。

　「原因療法のためにはセキュリティイベント（点）が、持続的に行われる深刻な攻撃（線）の一端であることを認識しなければならない。点だけを見ていると、脅威を排除した後、しばらくするとまた不正プログラムが検知された、定時検索で動作していないバックドアが検知された、導入した記憶のない管理ツールがインストールされていた、などさまざまな脅威を招き、見逃してしまう恐れがある」（大田原氏）。

　そこで、「ツール」で脅威の可視化・動的解析をした後、「知見を有する人」が相関性の洗い出し・根本的な対策を行う専門家によるサポートサービスも提供する。これはサイバー攻撃アセスメントから導入支援、運用設計、脅威通知、インシデント時の対応、技術者による24時間365日の技術支援までを含む総合的なものだ。

　DDAの価格は、ハードウェア3年保守版が1418万円（税別）/台、ハードウェア5年保守版が1508万円（同）/台。次年度更新費用が630万円（同）/年。現在、同社既存製品との連携を進めているところで、DDAの受注開始日は8月26日を予定する。