標的型攻撃対策に特化した米Lastlineが日本法人を設立、本格参入へ

標的型攻撃対策に特化した製品を提供する米Lastlineは12月10日、日本法人を設立し、日本市場に本格参入すると発表した。

米Lastlineは2011年、Christopher Kruegel氏らによって設立。10年以上の研究開発成果を元にした次世代サンドボックス技術を開発し、APTを含む標的型攻撃とゼロデイ攻撃に特化した製品を提供している。高検知率と低誤検知率が特徴で、北米を中心に300社以上の導入実績がある。

Lastlineは、クラウド上の高精度サンドボックスでマルウェアの動作を検知。フルシステムエミュレーションのアプローチをとったサンドボックスであり、仮想マシンベースやOSをエミュレーションしてシステムコールのみ監視する従来型サンドボックスとは異なる。ここが高い検知率と低誤検知率に繋がっているとのことで、マルウェアが実行するあらゆるCPUインストラクション(命令)を監視し、ステルス型マルウェアも検知できるという。

これだけではなく、Lastlineは独自のクローリング機能により、膨大な数のWebサイトを巡回してマルウェアが潜伏している可能性のあるサイト情報を収集する。ほかにも、世界中のユーザーやサービスプロバイダー、パートナーなどから収集したマルウェア情報を独自のデータベース「脅威レポジトリ」として保有している。これにより、独自アルゴリズムで解析した結果をユーザーのシステムにリアルタイムで反映して脅威に対する防御策を展開する。また、誰がいつ、どういったマルウェアに感染したかについてもシステム管理者へ迅速にメールで通知し、具体的な対応策をレポート出力する。

万が一、社内にマルウェアが侵入した場合についても、ふるまいを監視してマルウェアとC&Cサーバー間の通信を遮断するため、「社内の重要な情報が外部に漏洩することを防げる」という。

Lastlineはアプライアンスではなく、ソフトウェアベースの提供となっており、管理モジュールの「Manager」とユーザーのネットワークにインストールする「Sensor」、高精度の解析エンジン(サンドボックス)である「Engine」などから構成されている。

マルウェアなどの検知はSensorが担っており、SensorはPCサーバーにインストールしてスイッチのミラーポートに接続するだけでネットワーク構成を変更することなく導入できる。Sensorから収集された情報はManagerへ送られてEngineで解析する。

ManagerはSensorやEngineを管理し、利用状況の集計レポートと個々のイベントを表示するレポート機能を提供する。各イベントがインシデントに相関付けられてわかりやすく可視化表示されるため、脅威の現状把握と状況判断が容易になるとしている。また、C&Cサーバーへの接続要求日時や感染端末のIPアドレス、宛先IPアドレス、マルウェアの種類、脅威の度合いなどを管理者に対してメール通知する。

クラウドサービスとオンプレミスの双方で利用できるソフトウェアである上、オープンアーキテクチャでAPIを多く用意しているため、各種サードパーティ製品による既存セキュリティシステムとの統合運用も可能となっている。

日本では2012年よりテリロジーが販売代理を行っており、すでに官公庁や大手企業などで導入実績があるという。今回新たに日本法人を設立するとともに、SCSKとNTTデータ先端技術との販売パートナー契約を締結し、拡販を行っていくという。

日本法人のカントリーマネージャーに就任した伊藤 一彦氏は、「これまで標的型攻撃対策に特化したメーカーは選択肢が用意されていなかった。Lastlineの参入により色々変わってくるし、競合ベンダーが出てきたことを認知していただければ嬉しい。この対策は2015年に入ると更に重要となるので、人員を拡大して提供していきたい」と話した。