ウォッチガード、NWとエンドポイントを相関分析するクラウドの新サービス

ウォッチガード・テクノロジー・ジャパンは3月7日、都内で記者会見を開き、クラウドベースの新サービス「Threat Detection and Response」(TDR:脅威検知&レスポンス)を発表した。新サービスは中堅企業や分散拠点を持つ大企業、およびマネージドセキュリティサービスプロバイダ(MSSP)向けのソリューションとして、UTM(統合脅威管理)分野において、ネットワークとエンドポイントの検知機能、レスポンス機能の両方を包括的に併せ持つ。

具体的には、Fireboxアプライアンスとエンドポイントのセンサからイベント情報を収集し、クラウド上の脅威情報共通基盤で相関分析を行い、インシデントレスポンス(対処)を図るサービスとなる。

新サービスの説明を行った米WatchGuard Technologies プロダクトマーケティング担当ディレクタのジュリアン・マトシアン氏は「TDRはネットワーク、エンドポイントそれぞれで収集したイベント情報を相関付けることにより、新しい脅威や隠れた脅威を検出し、対応することが可能だ。新製品は4つのコンポーネントがあり、エンドポイントの可視化・レスポンスを迅速に作成し提供するHost Sensor、クラウドベースの脅威に対する相関分析と脅威情報のスコアリングエンジンであるThreatSync、Host Sensorの中にあり、起動前に暗号化を防止できるHost Ransomware Preventionモジュール、そしてクラウドベースの脅威インテリジェンスとなる」と述べた。

また、同氏は「従来型のアンチウイルス製品は既知の脅威への対応とパターンマッチングなどを使っているが、TDRは脅威インテリジェンスと振る舞い分析を活用し、高度なヒューリスティックとネットワークとの相関を確認することができる。しかし、TDRはアンチウイルス製品を代替するものではなく、あくまでもアンチウイルス製品と併用し、補完することが重要になる」とTDRが防御する攻撃ステップの範囲と位置づけを説明した。

TDRは、必要な対策をエンドポイントで実行することにより、サイバー攻撃の被害を抑えることができるほか、ヒューリスティクスおよび脅威インテリジェンスを活用することで悪意のある振る舞いを検知し、リスクと重要度の面から脅威情報をスコアリングするという。

特徴とメリットとして、同社は「ThreatSync」「Host Sensor」「UTM ネットワークセキュリティサービスとの統合」「Host Ransomeware Prevention(HRP)モジュール」「既存アンチウイルスに高度なセキュリティレイヤーの追加」の5点を挙げた。

相関分析とスコアリングによる脅威の可視化

ThreatSyncは、クラウドベースの相関分析および脅威情報のスコアリングを通じて、リアルタイムの脅威検知ならびにポリシーベースの自動レスポンス機能を提供し、Fireboxアプライアンス、エンドポイントのHost Sensor、およびクラウドの脅威インテリジェンスフィードから収集したイベントデータを相関分析し総合的な脅威スコアを割り出すことでマルウェアに対するインシデントレスポンスの自動化を図る。リスクの全体レベルに基づいた個々の脅威をインテリジェントに優先順位付けすることにより、検知とレスポンスに要する時間の短縮が図れるという。

Host Sensorについては、定常的にデバイスのセキュリティイベントをスキャン/モニタリングし、ThreatSyncにフィードバックして分析および脅威情報をスコアリングし、エンドポイントの脅威を可視化し、脅威情報を特定することが可能になり、従来のセキュリティ対策の課題であった早期発見を実現し、レスポンスの自動化を実現するとしている。

UTMネットワークサービスとの統合では、ThreatSyncの相関分析および脅威情報のスコアリングプロセスにWatchGuard Firebox M Series、T Series、XTMvの各アプライアンスならびにAPT Blocker、WebBlocker、Reputation Enabled Defense(RED)、Gateway AntiVirusなど従来のWatchGuard Total Security Suite(TSS)サービスを連携。

HRPモジュールに関しては、ランサムウェア攻撃に対する最先端の防御機能を提供し、HRPを、APT Blockerの標的型攻撃対策と連携させることにより、ランサムウェアによるエンドポイントのファイルの暗号化を阻止し、被害を未然に防ぐとしている。

既存アンチウイルスに高度なセキュリティレイヤーの追加では、ユーザやMSSPはエンドポイントで実装済みの既存ウイルス対策ソリューションをリプレースする必要がなく、TDRと既存のアンチウイルスが連携した脅威検知とイベントの相関分析の防御レイヤを追加することが可能。これにより、ウイルス対策製品単体では検知できない、未知のマルウェアを特定し、被害が拡大する前に感染ファイルなどを検疫・隔離、プロセス停止、レジストリー値から削除といった作業を自動化することができるという。

国内における販売戦略

ウォッチガード・テクノロジー・ジャパン 社長執行役員 根岸正人氏は「新サービスは、従来のUTMや次世代ファイアーウォールなどの領域に加え、ネットワークからエンドポイントまで幅広いソリューションとして提供していく。背景としては、2017年はランサムウェア被害の拡大が見込まれ、エンドポイントを含めた包括的なソリューションが必要となるからだ。新製品の販売に先立ち、われわれでは米Hexis Cyber Solutionの事業部門であるHawkEye Gを買収しており、同社のサービスをベースとし、8カ月間にわたり連携機能に取り組んだ」と説明した。

また、同氏は国内における販売戦略について「Total Security Suite(TSS:総合セキュリティスイート)ライセンスを1つの大きな販売戦略とし、これまでの運用管理、可視化に新サービスが提供するインテリジェント防御が加わることとなる。幅広いユーザー層に導入を提案し、本社や支店、営業所、店舗なども含め、導入の容易さを訴求していく。既存のゲートウェイを更新するのではなく、標的型攻撃対策のサンドボックスの機能を追加しつつ、エンドポイントまでカバーするなど、アドオンビジネスを推進する。また、顧客の規模に応じた拡張性と運用管理性を提供するほか、MSSPパートナーを通じたサービス提供を図る。そして、限られた予算と人的リソース環境における実用的な洞察力と効果を提案していく」と意気込みを込めた。

米WatchGuard Technologies CTOのコリー・ナクライナー氏は「現在、脅威の勢力図では5つのトレンドとしてランサムウェアの台頭、IoTデバイスを対象とした攻撃、攻撃を受ける中小企業の増加、国家間のサイバー戦争のトリクルダウン現象、セキュリティ人材の不足が挙げられる」と指摘。

さらに、今後について「われわれは全体網羅的なセキュリティが必要だと考えており、従来のネットワークセキュリティに加え、新製品の投入により、セキュリティの範囲がエンドポイントまで広がる。われわれはビジョンとして『The WatchGuard Cloud』を掲げており、全体網羅的なセキュリティ対策を多階層管理、マルチテナント管理などをクラウドベースで提供していきたいと考えている」と同氏は展望を語った。

なお、新サービスはTotal Security Suiteのパッケージライセンスで標準提供するため、すでに同パーッケージを購入済みのユーザーは無償で利用できる。価格はFirebox M300の場合、1年間のTotal Security Suiteライセンス付きで99万7200円(ハードウェアアプライアンスおよび初年度のソフトウェアライセンス含む)。