トレンドマイクロ、疑わしい挙動を検知して未知の脅威に対応する新Solution

トレンドマイクロは20日、企業内の潜在的な脅威を可視化し、未知の不正プログラムに対応するソリューション「Trend Micro Threat Management Solution」の発売を世界に先駆けて発表した。

内部脅威への対策に重点を置いたソリューション

今回発売される「Trend Micro Threat Management Solution(以下、TMS)」は、社内ネットワークの常時監視で疑わしい挙動を捕捉し、潜在的な未知の脅威を可視化できるソリューションだ。各コンピュータで記録するプログラムの動作を追跡調査することにより、パターンファイル対応前の新種の不正プログラムを検出および削除が可能になる。

TMSは、不正プログラムの特定とレポート提供を行う「Trend Micro Threat Discovery Suite」(9月1日発売)と、原因分析や復旧処理を行う「Trend Micro Threat Mitigation Suite」(11月初旬発売予定)という2種類のスイートサービスで構成されている。

ソリューションの詳細解説が行われる前に、取締役 日本地域担当 グローバルサービスビジネスジェネラルマネージャ 兼 グローバルコンシューマビジネスジェネラルマネージャの大三川彰彦氏が、TMSのリリースに至る背景などを紹介した。大三川氏によると、現在の企業を取り巻く問題には、電子メールを足掛かりとした犯罪および「Webからの脅威」が蔓延していることが挙げられるという。

まず電子メールに関しては、著名な企業ブランドがフィッシング攻撃に悪用される例が非常に多く、企業や団体が受信する電子メールの85-90%はスパムメールという状況だ。企業では対策用に多大な投資を行っているにもかかわらず、電子メールの2-6%には不正プログラムが含まれている。つまり、電子メールは依然として主要な不正プログラム感染経路となっているのである。

また2005年以降、新たなWebからの脅威が急増しているのも大きな問題だ。2005年の第1四半期における脅威を100とすると、2007年の第4四半期では1564にまで至っているという。その一方、企業では約15%しかWebコンテンツに関する不正プログラム対策を講じておらず、脅威の変化に対応できていない様子が浮き彫りとなった。さらに、Googleに対する検索要求の約1.3%では、結果ページに少なくとも1回の不正なURLが返されているほか、18万以上のサイトに誘導する不正なURLを300万件以上検出しているというデータもある。

そこでセキュリティ投資の分野として「大企業と中堅企業を中心に『情報セキュリティ管理施策』と『コーポレートガバナンス』領域の需要が特に高まっている」と大三川氏は語る。

こうした状況を受け、同社ではセキュリティ関連の取り組みとして「情報保護」に着目、特に軽視されがちな内部脅威への対策に重点を置いている。企業のトラブルには「不正プログラムを用いたサイバー犯罪」および「人的ミス」という2種類の要素が大きく関係しており、対処を怠った結果として情報漏えい事故が発生、信用の失墜や事業継続が困難な状況を作り出してしまう。つまり、価値を持つデジタル情報をいかに守るかが重要なのだ。また、潜在的な脅威は早期発見することにより、損害や復旧に必要な費用と手間の削減が可能になる。そこで、未知の不正プログラムに対応するTMSが誕生したわけだ。

検索エンジンやパターンファイルとネットワーク振る舞い検知技術を併用

続いてソリューションビジネス推進室 室長の新井一人氏が、TMSに関する具体的な解説を行った。TMSが従来のウイルス対策製品と異なるのは、解析済みだけでなく、解析前のマルウェアを検出できること。これはマルウェアが持つ既知の特徴を捉えるのではなく、疑わしい挙動を検知する確度評価を用いているため。

また、従来製品がサーバやクライアントといった機器単位を監視対象としていたのに対し、TMSでは社内ネットワーク全体が監視できるのも大きな差だ。さらに、パターンファイル更新までのタイムラグをフォローするなど、同社製品に限らずさまざまなウイルス対策製品と共存し、情報セキュリティに関する対策強化が行えるのも特徴といえる。

ちなみに、同社が2007年11月より実施したパイロットプログラムでは、パターンファイルにより不正プログラムを検出したクライアント数が平均230台だったのに対して、TMSで検出したクライアント数は平均737台と、約3.2倍におよぶ結果が出ているという。

スイートサービス別の機能としては、Threat Discovery Suiteがネットワーク内の疑わしい挙動を分析し、不正プログラムや未知ウイルスに感染したクライアントの特定、レポート提供などを担当する。同社が持つ検索エンジンおよびパターンファイルと、ネットワーク振る舞い検知技術を併用することで、既知のマルウェアだけでなく新たな脅威の識別も可能となっている。

また、ネットワークトラフィックに影響を与えないスイッチのミラーポートへの接続方式や、リージョナルトレンドラボ内での専門的なログの相関分析を基にしたレポートなどもポイントだ。なおThreat Discovery Suiteは、検出用アプライアンス「Trend Micro Threat Discovery Appliance」と、分析やレポートサービスを行う「Trend Micro Threat Management Services」に分類される。

一方のThreat Mitigation Suiteでは、感染活動の追跡調査から原因分析や復旧処理を担当している。危険性の高い感染クライアントの自動復旧に加えて、根本的原因となる特定材料の収集、対処結果を含めたレポートなども実施。こちらは処置サーバ用ソフトウェア「Trend Micro Threat Mitigator」と、クライアントソフトウェア「Trend Micro Threat Management Agent」に分類される。

提供されるレポートとしては、新種を含む危険度の高いマルウェア感染報告を行う「Daily Administrative Report(日次レポート)」と、1カ月間の傾向分析と注意すべき課題を示す「Monthly Executive Report(月次レポート)」が用意されている。

日次レポートでは感染クライアントの特定、感染した不正プログラム種別と対処法、検知記録、根本的原因の分析、対処実施状況といった内容を記載。月次レポートには日次レポートの集計による感染傾向分析や、専門家によるアドバイスなどが記載される。

参考価格としては、検知用アプライアンスのThreat Discovery Applianceが4年間のハードウェア保守費用込みで1台あたり480万円。分析やレポートサービスを行うThreat Management Servicesの年間サービス料金は、500ユーザー以下で347万2000円、501-1000ユーザーで385万8000円、1001-2500ユーザーで428万6000円だ。なお、1年ごとの契約更新料は標準価格100%となる。

同社では販売目標としては、2009年末までに2億円の売上、2011年で年間10億円の売上を目指しているという。