特集
» 2014年11月21日 17時00分 UPDATE

米フォーティネットの取り組みに見る:高度化する脅威に対峙する、これからの2つの武器とは?

インターネット上の脅威はますます高度化、巧妙化を極めており、従来型の対策だけで守りきることは困難になりつつある。この事実を踏まえ、セキュリティ業界が取り組んでいる新しいアプローチを、米フォーティネットの取り組みを例に探ってみた。

[高橋睦美,@IT]

高度化する脅威に対する新しい武器は?

 昨今、インターネット上の脅威はますます高度化、巧妙化を極めている。従来から猛威を振るってきたボットネットやオンライン不正送金を行うマルウェア、APT(Advanced Persistent Threat)を含む標的型攻撃、Androidなどのモバイルデバイスをターゲットにした攻撃、IoT(Internet of Things)を狙う攻撃など、枚挙にいとまがないほどだ。

mt_fortinet01.jpg 米フォーティネットのグローバル・セキュリティ・ストラテジスト、デレク・マンキー氏

 米フォーティネットのグローバル・セキュリティ・ストラテジスト、デレク・マンキー氏は、「サイバー犯罪用のインフラがサービスとして提供されている。ZeusやSpyEyeといったマルウェアのソースコードや、解析を困難にする『パッカー』などが公開されており、それを拾ってきてコピー&ペーストするだけでオリジナルのマルウェアを作成できる状況だ。その上、ウイルス対策ソフトによる検出を困難にするための(ブラックな)QA(品質保証)的なサービスやコンサルティングなどもあり、サイバー犯罪を通じて金銭を稼ぐためのエコシステムが形作られている」と指摘する。

 CodeRedやNimdaといったマルウェアが猛威を振るっていた時代ならばいざ知らず、こうした現在の脅威に、オンプレミス環境に導入したウイルス対策ソフトやファイアウォールといった従来型のセキュリティ対策だけで対応するのは困難だ。セキュリティベンダー各社もこのことを認識し、新たなアプローチに取り組んでいる。1つは、クラウド基盤を活用した情報配信による迅速な脅威の検知。もう1つは、シグネチャに頼らず未知の脅威を検出する「サンドボックス」技術だ。

 米フォーティネットも例外ではない。同社はカナダ・バンクーバーに200名体制で研究開発拠点、FortiGuard Labsを置き、脅威動向の分析と、プロアクティブに脅威に対処するための技術開発に取り組んでいるという。

 「保護を提供するまでの時間が決定的に重要な意味を持つ。そこで、高度な相関分析技術や自動化技術を活用し、インフラを『アクション可能なもの』にしていきたい」(マンキー氏)

クラウドを介した情報配信をさらにプロアクティブに

 米フォーティネットは、ファイアウォールやVPN、アンチウイルス、IPSといった複数のセキュリティ機能を備えたUTMアプライアンス「FortiGate」シリーズで知られるセキュリティベンダーだ。各セキュリティ機能をOEMではなく独自に開発、実装していること、独自のハードウェアASICによって高いパフォーマンスを実現していることなどが特徴だ。

 同社では、バンクーバーの解析拠点と世界90カ所以上に配置したサーバーとを結んで「Fortinet Distribution Network」(FDN)を構築し、FortiGateのアンチウイルスやIPS、Webフィルタリング機能それぞれに、最新の脅威情報を配信している。配信される情報は、いわゆるアンチウイルス機能やIPS用のシグネチャに加え、ボットネットに関する情報やWebフィルタリング用のIPレピュテーション情報など多岐にわたっている。

mt_fortinet04.jpg Fortinet Distribution Networkを形作る同社データセンター

 例えばマルウェアの解析では、サポートが終了したWindows XPも含めて複数の環境を用意するのは当然として、感染するたびに姿を変えるポリモーフィック型ウイルスの特徴を捉えるため繰り返し繰り返し実行させたり、マルウェアが備える解析回避機能のさらに裏をかいて解析処理を実施。シグネチャ生成後、誤検出がないかテストした上で配信している。アンチウイルス用シグネチャは4時間ごと、Webフィルタリングについては5分ごとといったペースで情報を提供しており、日本における「一太郎」のように、国や地域ごとに特有のアプリケーションについても、情報を収集して対応しているという。

mt_fortinet02.jpg カナダ・バンクーバーに置かれた米フォーティネットのFortiGuard Labs

 特徴は、1つの検体をさまざまな角度から解析し、そこから得られた情報をアンチウイルスだけでなく、IPSやWebフィルタリングなど複数の機能に反映していることだ。接続を試みるIPアドレスや疑わしいメールに含まれるURL、あるいはマクロなトラフィックの傾向といった複数の要素を互いにひも付けて解析。「ますますスマートになっているサイバー犯罪者に追いついていくため、脅威に関する解析結果に相関分析を加えて『インテリジェンス』として送り出し、対抗手段を取れるよう支援している」(マンキー氏)。

 同社ではこの解析に大きく力を注いでいるというが、日々生み出されるマルウェアや攻撃の数もますます増加している。そこで、独自の機械学習アルゴリズムを活用し、解析からパターンファイルの作成までの作業の自動化に取り組んでいるという。ゆくゆくは、解析結果を基に「予測的」「プロアクティブ」にシグネチャをアップデートできないかという構想もあるという。

 並行して、セキュリティ業界の横のつながり作りも進めている。脅威がこれだけ高度化している今、全てを1社で賄うのは困難だ。CSIRT(Computer Security Incident ResponseTeam)の国際的な団体であるFIRST(Forum of Incident Response and Security Teams)をはじめ、各種業界団体と連携を進めているだけでなく、直接の競合相手となるセキュリティベンダーとも共同で「Cyber Threat Alliance」を設立した。Cyber Threat Allianceには同社の他、マカフィー、シマンテック、パロアルトネットワークスが参加しており、MITREなどが定める標準に基づいた形で脅威インテリジェンス情報を共有するためのフレームワーク作りに取り組む。

サンドボックス技術と既存製品の連携を強化

 未知の脅威を検出する手段として業界で注目を集める技術が「サンドボックス」だ。大ざっぱに言うと、シグネチャには該当しないが疑わしいファイルを仮想環境上で実行させ、その挙動を観察することで、マルウェアか否かを判断するというものだ。実際にファイルを実行させるため、解析に時間を要するという課題はあるものの、ゼロデイ脆弱性を悪用した未知の攻撃をより確実に検出する手段として脚光を浴びている。

 フォーティネットもこのサンドボックス技術の強化に取り組んでいるという。既に、専用アプライアンス「FortiSandbox」という形でサンドボックス製品を提供してきたが、新たに仮想アプライアンス版の提供を開始し、FortiGate、FortiMailといった既存の製品との連携を強化させていく方針だ。

mt_fortinet03.jpg

 さらに、不正侵入「検知」システム(IDS)が、検知にとどまらず防御までカバーする不正侵入「防御」システム(IPS)へと進化したのと同じように、「APT Detection System」(ADS)から「APT Prevention System」(APS)への進化を目指すという。

 「APTに対する防御としては、まずUTMや次世代ファイアウォールといった多層防御による緩和策が挙げられる。そうした既存のセキュリティをすり抜けてくるものについては、サンドボックスを活用した検出が有効だ。さらに、その情報に基づく迅速なレスポンスを実現できれば、ダメージを最小限に抑えることができる」(マンキー氏)。

 例えば、ゲートウェイ部分に導入したFortiSandboxで何らかの脅威を検出したら、その情報に基づいてFortiGateやFortiMailに指令を送り、マルウェア解析結果に含まれる特定のIPアドレスへの接続を制御するといった具合だ。共通のナレッジに基づくゲートウェイとエンドポイントの連携、協調動作にも取り組んでいくという。

 ひいては、将来的に「サンドボックス上のインテリジェンスを動的にプログラミング可能な形とし、もっときめ細かくカスタマイズできるようにしていきたい。大規模なエンタープライズ環境で複数の異なるサンドボックスが協調して動作し、よりプロアクティブに対処できるような仕組みに取り組みたい」と、米フォーティネット プロダクトマネジメント担当バイスプレジデントのロバート・メイ氏は述べている。

mt_fortinet05.jpg 米フォーティネット 会長兼CTOのマイケル・ジー氏

 マンキー氏はまた、2014年の脅威の傾向として、モバイルデバイスや組み込み機器もまた脅威にさらされていると述べている。「これは現実に起こりつつある問題だ」(同氏)。フォーティネットは、まだ詳細は明らかにできない段階ではあるが、組み込み機器や制御システム向けのセキュリティについても研究、協業を進めているという。

 また、同社会長兼CTOのマイケル・ジー氏は、こうした多様な機器、多数の機器がインターネットに接続する上で、セキュリティがパフォーマンス上のボトルネックになることがあってはならないとも指摘。FortiASICなどハードウェアの進化に加え、ソフトウェアエンジニアリングへの投資を通じて、「パフォーマンスの限界が生じないように取り組んでいく」としている。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。