マカフィー、IPSアプライアンスにサンドボックス技術も統合へさらなる多層防御に取り組む

マカフィーは4月2日、不正侵入防御(IPS)アプライアンス「McAfee Network Security Platform」に関する戦略説明会を開催。第3四半期中に、買収した米ValidEdgeのサンドボックス技術を統合した新製品を提供するという。

» 2013年04月02日 21時58分 公開
[高橋睦美,@IT]

 マカフィーは4月2日、不正侵入防御(IPS)アプライアンス「McAfee Network Security Platform」に関する戦略説明会を開催した。

米マカフィー プロダクトマネジメント シニアディレクター ヴィネイ・アナンド氏 米マカフィー プロダクトマネジメント シニアディレクター ヴィネイ・アナンド氏

 2013年5月には40GbEインターフェイスを搭載したハイエンドモデルを投入するほか、第3四半期中に、買収した米ValidEdgeのサンドボックス技術を統合した新製品を提供する予定で、「進化する新しい攻撃に対処すべく、新しいメカニズムを追加していく」(米マカフィー プロダクトマネジメント シニアディレクター ヴィネイ・アナンド氏)という。

 同社のIPSアプライアンスは、伝統的なシグネチャベースの検知に加え、ファイルの振る舞いを解析するアノーマリ検知、クラウドベースの脅威情報データベース「Global Threat Intelligence(GTI)」を参照するファイルレピュテーションなど、複数の手法を組み合わせてマルウェアをチェックすることが特徴だ。

 特に、近年増加している標的型攻撃への対策という意味合いからも力を入れているのが、「アプリケーションの可視化と制御」「ボットネット検知」「マルウェア検知」という3つのテクノロジだという。

 アプリケーションの可視化/制御は、いわゆる次世代ファイアウォールでも実装されている機能だ。どのようなアプリケーションが利用されているかを把握し、サービスごとに利用の可否や帯域上限などを制御する。「Facebook自体の利用は許可しても、ゲームは禁止する」といったきめ細かな制御を実施できることが特徴だ。また、そもそも平常時に、どんなアプリケーションがどのように利用しているかを理解していなければ、「何が異常か」を判断するのは困難であり、その意味からも重要な機能だという。

 ボットネット検知では、同社リサーチラボで収集した情報を元にボットネットのリストを作成し、更新するほか、「Multi-Attack correlation」という独自技術によって振る舞いを解析し、新たなボットの発見に取り組み、いち早い検出を支援する。

 マルウェア検知では、前述のようにシグネチャやレピュテーションなど、複数の手法を組み合わせてファイルをチェックし、マルウェアを検出する。新たに、JavaScirptのエミュレータも実装しており、昨年多く観測されたPDFファイルにJavaScriptを仕込む攻撃なども検出できるようにしたという。

 アナンド氏は、「マルウェアに対抗するには、複数のテクノロジを組み合わせた多層防御が必要だ」と述べ、これらの取り組みに加え、「サンドボックスという新しいメカニズムを追加することによって、マルウェアの検知率を99%にまで高めていく」とした。

 またそれに先立ち、性能をさらに向上させた新モデル「NS-9100」と「NS-9200」を5月に発表する予定だ。いずれも40GbEインターフェイスを搭載し、スループットはNS-9100が最大10Gbps、NS-9200は最大20Gbpsとなる予定で、サーバなどを高密度に収容するデータセンターなどを対象に提供する。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。