パロアルトネットワークスは6月18日、これまでクラウドサービスとして提供されてきたWildFireが、プライベートクラウド環境でも利用できるWildFireアプライアンス「WF-500」の販売開始を発表した。

WildFireアプライアンス「WF-500」

WildFireは、ファイルを実行し、ファイルの挙動を監視することで未知のマルウェアを検知する、クラウドサービス型の仮想サンドボックス環境。今回、マルウェアとは関係のないファイルをクラウド上に送信したくない顧客やサンドボックスの運用を自社で行いたい顧客の希望に応えるために、オンプレミス向けアプライアンスとしてWF-500の提供を始める。

WF-500では、マルウェアの検出、分析をアプライアンス上で行い、マルウェアと判定されたファイルをクラウドに送信する。クラウド側のWildFireでは、送信されたマルウェアからシグネチャを生成。パロアルトのファイアウォール(PAシリーズ)にシグネチャを最短30分で配信するという。

価格は販売店への問い合わせが必要で、購入時にWildFireサブスクリプションの契約も必要。WildFireサブスクリプションは年間契約で、価格はPAシリーズの本体価格の20%を予定しているという。

韓国の大規模サイバー攻撃も事前に検知

パロアルトネットワークス 技術本部長 乙部 幸一朗氏

同日、都内で記者発表会が行われ、パロアルトネットワークス 技術本部長 乙部 幸一朗氏がWildFireのサービスと製品説明を行った。

既に提供されているクラウドサービス型WildFireは、1700社以上の企業に利用されているという。5月の1ヶ月間でスキャンされたファイル総数は50万5439個にのぼり、新たに発見したマルウェアの数は2万9719個となった。そのうち、主要アンチウイルス製品が検知できなかったマルウェアは約50%の1万4751個に達したという。

乙部氏は、3月に韓国で発生した大規模サイバー攻撃"MBR Wiper"を例に挙げ、「事件発生の約3週間前からWildFireで関連するマルウェアを検知していた」と語る。多い日で20種類、合計80種類以上のマルウェアを検知したWildFireは、検知後30分~60分でシグネチャ配信も行ったという。

WF-500は、同社が次世代ファイアウォールとして提供しているPAシリーズと組み合わせることで効果を発揮する。PAシリーズはホワイトリスト形式で安全と定義されたファイルなどを通過させ、信頼できないIPなどからの未知のファイルをWF-500に送信する。WF-500を導入するために必要なPAシリーズの要件として、「PAN-OS 5.0.3以降」「WildFireサブスクリプション」がある。

WF-500は、サンドボックス環境でファイルの実行を行い、マルウェアと判定したファイルをクラウドのWildFireへ送信するが、社内のセキュリティポリシーなどでクラウドにファイルを送信したくない顧客は、送信しないように設定することも可能だという。

また、最近はサンドボックス型のマルウェア検知技術を利用した製品が増えてきたことで、「サンドボックス環境ではマルウェアとして動作しないように設計されたマルウェアが増えつつある」と乙部氏は語る。

サンドボックス環境の中には、インターネットへの接続を行わない製品があり、アンチサンドボックス型マルウェアはインターネットに接続できない場合、活動を行わないものがあるという。WildFireでは、サンドボックス環境でもインターネット接続に対応しており、アンチサンドボックス型マルウェアにも対処できる。

WF-500は、18インスタンスの仮想環境(Windows XPのみ)で1日に4500ファイルを処理することができ、サンドボックス構成や検知ロジックはクラウド型のWildFireと同等としている。

サンドボックスは万能ではない

乙部氏は製品の説明を行ったのちに「サンドボックス型マルウェア検出製品を万能なものとして考えている人も多いが、標的型攻撃対策=サンドボックス専用製品ではない。例えば、Flameを代表とするファイル容量が大きいマルウェアは解析が難しいし、Skypeなどの暗号化された通信も検査できない」と語る。

標的型攻撃をサンドボックスで全て防ぐことはできない

パロアルトの他製品との連携で
総合的なセキュリティ対策が可能に

USBメモリなどのメディアを通した感染もサンドボックス型では対処できないため、「ファイアウォールやアンチウイルスとの併用することで、総合的にセキュリティを行うことが重要」と乙部氏は述べた。