多層防御で標的型攻撃から守る - マカフィーの次世代IPS製品の最新ロードマップと戦略発表

マカフィーは4月2日、次世代IPS製品の最新ロードマップと戦略発表を行った。標的型攻撃からいかに守るかをマカフィーの事業戦略とともに、見ていく。

マカフィーのセキュリティ戦略の基盤

最初に登壇したのは、マーケティング本部シニアプロダクトマーケティングスペシャリストの中村 穣氏。

マカフィーでは、実際の企業などで効率的にセキュリティ課題を克服するための基本として、3つの要素を統合する必要があるとしている(下図)。

中村氏は、これを「McAfee Security Connected」と呼ぶ。インテリジェンスでは、Global Threat Intelligence(GTI)を中核とし、いかに脅威の情報を収集し判断するかをポイントとしている。

製品連携では、GTIを経由し、異なる製品間で脅威情報を共有することが目的となる。また、エンドポイントセキュリティとネットワークセキュリティでは、それぞれ守備範囲が異なる。これを製品間で共有し、分析や判断の材料とする。

最後に、運用プロセスでは、全体運用管理の最適化である。現時点では、ePolicy Orchestratorというエンドポイントを管理するシステムを提供する。今後は、ベンダーなどの枠を超え運用管理を集約するSecurity Information and Event Manegementも提供予定とのことだ。

IPSに求められるもの

標的型攻撃を防ぐために、IPSに求められる課題については大きく3つの課題が存在する。標的型攻撃で、異変に気づくのが遅れることが少なくない。この原因は、普段の状況を知らないことである。そこで、第一に求められるのは、アプリケーション利用状況の把握と制御である。

第二が出口対策である。侵入されないようにすることも重要であるが、もし侵入されてしまった場合、まず内部のマルウェアを検知し、奪取された情報を外部に送信させないようにする仕組みである。

実際の攻撃では、企業に特化したマルウェアなどが使われる。従来の方法では検知が難しくなっている。そこで、最後に求められるのが未知のマルウェア検知である。

マルウェア検知技術

次世代IPSの前に、McAfee Labs東京・主任研究員の本城 信輔氏により、現在のマルウェアの検知技術について紹介があった。

一般的には、ファイルの内部コードを解読することが行われる。しかし、不正な部分などは、難読化されていることも多いとのことだ。次に、それらを仮想環境で実行する。しかし、最近のマルウェアは、仮想環境では実行できない、挙動が異なるといったものも存在し、分析を困難にしている。実環境でも、脆弱性の悪用では、OSやアプリのバージョンで動作が異なったり、動かないことが多いという。

まず一般的な検索方法は、シグネチャである。トロイの木馬などが持つ、特定パターンで検索する方法で、検出範囲は狭い。そして、もう少し一般化し、脆弱性の特徴、アノマリー、難読化手法などを検索する方法もある。これはヒューリスティックで使われている。さらに、非シグネチャ型では、通信、レジストリの変更などを知らべる。この方法では、広範な検出が可能となる。

検索方法の比較であるが、非シグネチャ型の場合、処理に時間がかかる。一方、シグネチャ型では、非常に短時間で判断がつく。どちらがよいというレベルではなく、その状況において的確に使い分けていくべきとのことである。これは、IPSなどでも求められている。

次世代のIPSの最新情報と製品展開

次いで登壇したのは、ネットワークセキュリティプロダクトマネージメント・シニアディレクターのヴィネイ・アナンド氏である。

まず、IPSに求められる要素は、以下の3つである。

• 可視化と制御(Awareness)
• ボットネット検知(Botnet detection)
• マルウェア検知(Malware detection)

まず、可視化と制御である。下図では、攻撃のトラフィックがどこから、どこへいくかがわかる。さらに関連する国もわかる。

さらに設定画面では、Facebookは許可するが、Facebookのゲームまでは許可しないといった柔軟な設定もできる。次の図はボットネットを検知例である。

これまでのデータベース、それにMcAfee Labsのリサーチ、ふるまい検知などから集積される。マルウェアの検知には複数のエンジンを使用している(下図)。シグネチャ、レピュテーションは既知の脅威の検出である。さらに新エンジンのアドバンスドマルウェアエンジン、ファイルアノーマリ検知などで、未知の脅威にも対応できるようしている。上述のように、複数の手法を組み合わせることで、さまざまなマルウェアの検知を行うことが可能だ。

AV.TESTのテストでは、複合的なマルウェアの96%を検知する。さらに100%の検知率を目指すべく、ValidEdgeを買収しており、この技術は、ネットワーク上でサンドボックスを実行するもので、未知の脅威への対策としてさらに効果的となる。

このテクノロジーを搭載した製品は、2013年後半以降に投入される予定である。まずは5月に新製品NS-9100とNS-9200を投入する予定である。

特徴は、40GigEインタフェースを搭載し、30%性能価格比を向上させた。標的型攻撃を防ぐのは難しいとされる。しかし、多層防御、適材適所に最適な防御を行うことで、安全性を高めることができるとしている。