年金機構をはじめとして、多くの情報漏洩事件で被害者は、外部からの通報で初めてマルウェアなどの脅威がシステム内に入り込んでいることに気付いたという。対策が後手に回ったことにより被害を拡大させた例は少なくない。情報システムを守るために入口・出口対策は重要だが、ゼロデイ攻撃を完全に防ぐのは不可能といわれている。そこで、侵入されてしまった場合に備えた対策が必須となっている。ウォッチガード・テクノロジー・ジャパンがSecuLynx(セキュリンクス)と共同開発した新ソリューションは、ネットワークへの侵入から遮断までにかかる時間を短縮する「内部対策」のソリューションだという。
ウェッチガードと、パナソニックの子会社であるセキュリンクスが共同で開発した「未知のマルウェア感染端末の即時遮断(強制排除)ソリューション」は、ウォッチガードの次世代ファイアウォール「Firebox」と、セキュリンクスの不正PC強制排除アプライアンス「IntraPOLICE Ⅱ」を連携させたものだ。IntraPOLICE Ⅱの管理画面から、ゲートウェイとして導入されているFireboxが遮断したPCを確認できるようにした。
IntraPOLICE Ⅱは、セグメントごとに設置するアプライアンス製品「IntraPOLICE Ⅱセンサー」と管理コンソールの「IntraPOLICE Ⅱマネージャー」で構成される。セグメント内のARP(Address Resolution Protocol)パケットを受信して、ARPパケットに含まれるMACアドレスとIPアドレスから未登録のPCを検知する。検知したPCは、即座にネットワークから自動遮断、強制排除する。
Fireboxは、クラウド型の次世代サンドボックス「lastline」や、ローカルの解析済みキャッシュデータでゼロデイマルウェアを検知する。新ソリューションでは、Fireboxが検知した情報を即座にIntraPOLICE Ⅱマネージャーに送り、マネージャーからセンサーに遮断指示を出す。支持を受けたセンサーが、強制的に自動遮断を行うという仕組みになっている。Fireboxを通しての遮断情報はマネージャーの管理画面で確認できるほか、マネージャーから電子メールやパトライトなどのネットワーク監視表示灯で管理者に自動通知される。
ウォッチガードとセキュリンクスが連携した内部対策ソリューション拡大画像表示
新ソリューションは、2015年10月15日から提供を開始する。IntraPOLICE Ⅱセンサーの価格が15万円、マネージャーが28万円。2015年12月にはVLAN環境のユーザー向けに、1台のセンサーで複数のセグメントを「タグ」として管理できる「タグVLAN機能」をリリースする予定となっている。新ソリューションは、セグメント分のIntraPOLICE Ⅱセンサーを購入する必要があるので、すでにVLAN環境を構築しているユーザーであれば、12月の新製品でコストを大幅に抑えられる。
