ウォッチガード・テクノロジー・ジャパンとSecuLynxはこのほど、未知のマルウェアに感染した端末の即時遮断、強制排除を行うセキュリティソリューションの共同開発を発表した。

ネットワーク監視表示灯(左)とIntraPOLICE IIセンサ(中)とWatchGuard Firebox(右)

ソリューションは、SecuLynxの不正機器接続防止製品「IntraPOLICE II」とウォッチガードのFirebox標的型攻撃対策アプライアンスを機能連携したもの。

Lastlineの次世代サンドボックス環境でゼロデイマルウェアを検知するほか、ウォッチガードが持つ解析済みのマルウェアデータを元に検知できる。機能連携では、この検知したマルウェアがどの端末に存在するのかをIntraPOLICE IIマネージャーに送信。

マネージャーは遮断の指示をIntraPOLICE II センサへと送り、センサが端末を遮断、強制排除する。遮断にかかる時間は、検知情報がIntraPOLICE IIマネージャーに送られてから100ms~500ms程度で遮断できるという。

SecuLynxは2014年12月に設立されたパナソニックのスピンアップファンドによるベンチャー企業で、ネットワークセキュリティ機器やソフトウェアの開発・販売を行っている。IntraPOLICE IIは初代製品にウォッチガード製品との連携機能を加えたアップデートモデルで、マルウェアのC&Cサーバーとの通信を即遮断できるか否かをわかりやすくするために「II」を冠したという。そのため、管理コンソールでは初代のIntraPOLICEと「II」の製品は区別して表示できるという。

IntraPOLICEはそもそも、社内ネットワークに未登録のPCやスマートフォンが接続された場合の遮断製品として開発された。具体的には、登録外の端末がネットワークに接続された時に、最初に通信する際に送られるARPパケットを監視し、登録外のMACアドレスを検知した場合にネットワーク接続を遮断するという仕組みだ。これを、マルウェアとの通信や検体を検知した際に該当する端末の通信を遮断することに応用したものが今回のソリューションになる。

IntraPOLICE IIのセンサは15万円、マネージャは28万円(どちらも税別)となっており、10月15日より提供を開始する。

ウォッチガード・テクノロジー・ジャパンの社長執行役員 根岸 正人氏は、「セキュリティの世界では100%のマルウェア排除は無理ということが常識になりつつある。だからこそ、いかに早く気づくか、対処ができるかが重要」として、今回のような検知後の即時遮断の重要性を強調した。