ウォッチガード・テクノロジー・ジャパンは2014年4月24日、同社製UTM(統合脅威管理)アプライアンス/NGFW(次世代ファイアウォール)アプライアンスに、APT(Advanced Persistent Threat:持続性標的型攻撃)対策機能を提供するオプション機能「WatchGuard APT Blocker」を発表した。5月15日より提供される予定だ。
統合セキュリティ/ネットワーク管理を担うアプライアンス製品に軸足を置くウォッチガードにとって、APT対策機能を提供する製品の投入はこれが最初であり、同社のユーザーが待ち望んでいた機能と言える。
製品開発の背景として、APTの世界規模での発生頻度の増加と攻撃傾向の変化を挙げている。同社によれば、これまでの標的型攻撃は、公的機関や大規模企業に限定され、StuxnetやDuguに代表されるマルウェアに重要インフラが攻撃される傾向にあったが、今日ではより小規模の組織や企業がターゲットになり始めているという。米ウォッチガードのセキュリティストラテジ/リサーチ担当ディレクター、コリー・ナクライナー氏はこう説明する。「APTに遭遇している今日の組織や企業は、このような脅威は想定しておらず、十分な防御体制が敷かれていない。通常、ウイルス対策やシグネチャベースのセキュリティ製品に依存しており、ネットワークは脆弱な状態になっている」。
APT Blockerは、シグネチャによる既知のマルウェアを検知する方法に代わり、ファイル内部に埋め込まれた行動の分析に焦点を当ててマルウェアを検知するアプローチをとる。
疑わしいファイルを検知し特定すると、米ラストライン(Lastline)が運営するクラウドベースのサンドボックスサービスに送信。同サービスがクラウド上でファイルの実行をエミュレート、コード分析を実施して(フルシステムエミュレーション)、ATPに繋がる脅威をあぶり出すという仕組みだ。
ネットワーク/セキュリティ管理者が攻撃状況を把握するための可視化の機能も提供される。同社製UTMアプライアンスには、リアルタイム可視化ツール「WatchGuard Dimension」が標準で備わっており、同ツールを利用して、他のさまざまな脅威を含めて、ATPの発生/攻撃状況を単一の画面にわかりやすく表示させることが可能だ。
APT Blockerは、ウォッチガード製UTMアプライアンスのファームウェア「Fireware OS 11.9」にプレインストールされるかたちで、日本国内では2014年5月15日より提供される予定だ。なお、同社では30日間無償で利用できる評価版の提供が始まっている。
WatchGuard / UTM / アプライアンス / 標的型攻撃
