[インタビュー]Sandbox製品部門で顧客満足度1位、Trend Micro Deep Discovery | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.18(木)

[インタビュー]Sandbox製品部門で顧客満足度1位、Trend Micro Deep Discovery

株式会社イードが実施したセキュリティ製品およびサービスの顧客満足度調査「イード・アワード 2013」において、標的型攻撃対策製品の部でトレンドマイクロ株式会社の「Trend Micro Deep Discovery(以下 Deep Discovery)」が総合満足度1位となった。

特集 特集
株式会社イードが実施したセキュリティ製品およびサービスの顧客満足度調査「イード・アワード 2013」において、標的型攻撃対策製品の部でトレンドマイクロ株式会社の「Trend Micro Deep Discovery(以下 Deep Discovery)」が総合満足度1位となった。

同社エンタープライズマーケティング部の岡野健人氏に「Trend Micro Deep Discovery Inspector(以下 DDI)」及び、6月27日、新たに登場した「Trend Micro Deep Discovery Advisor(以下 DDA)」について話を聞いた。


――Sandbox製品を集めた標的型攻撃対策のカテゴリで、「Deep Discovery」が顧客満足度総合1位になりました。トレンドマイクロが、標的型サイバー攻撃をどのようにとらえているか教えて下さい。

標的型攻撃は、ニュースなどでも取り上げられており、認知度も上がってきています。プロの集団が攻撃に関与し、攻撃対象を念入りに調査している点が特徴的であるとされています。

従来のウイルス対策は、検体からパターンファイルを作成し、検出するものです。しかし最近は、攻撃者があらかじめ攻撃対象に導入されているセキュリティ製品を調査し、そのセキュリティ製品が検知できない亜種を作成することで攻撃を成功させる傾向にあります。したがって、検出が困難になりつつあるのです。

――1月のニューヨークタイムズへの攻撃では、セキュリティサービスを提供していたセキュリティ企業が「高度な攻撃に対してはアンチウイルスソフトだけでは充分ではない」という趣旨の声明を出していました。

標的型攻撃への対策について、「入口対策」と「出口対策」が必要であるといわれています。入口対策は、外部からの侵入への対策。出口対策は、侵入した悪意あるファイル(マルウェア)がC&Cサーバと行う通信を検出、ブロックする対策です。

しかし攻撃者側もこの新しい対策についてはよく理解しています。したがって、外部C&Cサーバとの通信を極力減らし、攻撃対象のイントラネット内で可能な限りの攻撃を深化させる傾向にあります。この傾向に対し、トレンドマイクロはイントラネット内で行われる不正な通信を監視し、潜伏しているマルウェアをの不審な挙動を検知して、被害を未然に防ぐ「内部対策」がさらに重要と考えて、注意喚起を促しています。

――「Trend Micro Deep Discovery Inspector(DDI)」は、その課題をどう解決するのですか

DDIは、ネットワークを監視することで入口/出口/内部対策を可能にするアプライアンス製品で、2012年6月から販売しています。トレンドマイクロは以前から「Trend Micro Threat Management Solution(TMS)」というサービスを提供していました。TMSは未知を含む脅威の検出結果を、当社の専門技術者が解析し、攻撃の事実やお客様の環境における問題点を指摘させていただくサービスとして提供していたものです。

DDIは、TMSで用いられていたセンサー製品であるTrend Micro Threat Discovery Appliance(TDA) という、当時単品販売していなかった製品を、サービスなしでもご利用いただけるよう、機能強化して新たに販売を開始した製品です。したがって、当社はこの分野でかなり長く製品提供をしていることになります。現在も、DDIを用いたTMS相当のサービスは継続して提供しています。

DDIは、スイッチのミラーポートに接続してネットワークをモニタするアプライアンス、つまりネットワーク機器です。「潜在する脅威の不正通信の可視化」「セキュリティ対策の指針づくり」「標的型メール攻撃対策」「内部攻撃・内部拡散対策」を目的としており、脅威の検出にSandboxを含む多段分析を用いること、脅威の状況を可視化できること、脅威分析レポートが自動生成されること、運用サポートも提供していることが特徴です。

通信への解析は二段階に分けて行われます。まず、既知の脅威、つまりパターンで検出されるかどうかの判断。そこに引っかからなかったものは、いわゆる「ヒューリスティックパターン」と呼ばれるルールで検査します。例えば、脆弱性攻撃コードが含まれていないか、攻撃によくみられる通信属性を備えていないか、などの複数の「ふるい」にかけるのです。

そこで怪しい、と判断されたものは、実際にSandboxに送られ、実行結果を調査します。これにより、「グレー」のファイルが「黒」か「白」であるかを明らかにします。また、C&Cサーバへの接続といったネットワーク上での「ふるまい」や、P2PやIM、ストリーミングといった要注意アプリケーションの通信も検出できます。

DDIは最大7台のポートに接続できるため、いろいろなセグメントのスイッチに接続できます。ミラーポートへの接続なのでネットワークトラフィックに影響を与えることなく可視化できることが特長です。コアスイッチやエッジスイッチを通過する各トラフィックをモニタリングすることで、入口、出口、内部の攻撃の検出を可能にする製品です。さらに、こういった機器が出力する大量の検出ログをトレンドマイクロで収集し、解析してレポートするサービスも提供しています。

――6月27日に発表された「Deep Discovery Advisor(DDA)」という製品は、既存製品のDDIとどのように協調するのですか。

トレンドマイクロは、標的型サイバー攻撃から保護するためのソリューションコンセプトとして「カスタムディフェンス」を掲げています。

今回発表したDDAは、そのコンセプトを具現化する製品といえます。DDAの特長は、多くの製品との連携機能です。入口対策ではメールセキュリティ製品、グループウェアセキュリティ製品やゲートウェイセキュリティ製品と連携し、出口対策ではWebゲートウェイ製品とも連携します。そして、内部対策にはDDIと連携します。

それぞれの製品で検出された不審なファイルをDDAに転送し、高度な分析、つまりSandboxによって白か黒かを集中して分析することが可能になります。また、黒であった場合にはメールセキュリティ製品に連絡して止めることが可能になります。さらに解析によってC&Cサーバへの接続を見つけた場合は、その結果をエンドポイントセキュリティ製品やゲートウェイ製品に連絡することで接続を止めます。これによって、エンドポイントやデータセンターでも出口対策ができるようになります。

C&Cサーバとの接続の部分では、標的型攻撃に使われる不正なメールアドレスや接続先のC&Cサーバ情報を集めたデータベース「C&Cコンタクトアラートサービス(CCCA)」が活用されます。この情報を元に、メール、Web、ネットワーク上でC&Cサーバへのアクセスを次の2つの方法でブロックします。まず、新たにDDAで発見したものは「カスタムCCCA」が作成され、これによりC&Cサーバへのアクセスを止めます。一方、「Trend Micro Smart Protection Network(SPN)」にはトレンドマイクロが把握しているC&Cサーバ情報「グローバルCCCA」が登録されており、各レイヤ製品にダウンロードすることが可能です。

――今後の課題はありますか

最近、悪意のあるファイルを圧縮して分割したり、特定の設定ファイルがないと動作しないなど、Sandboxによる解析を回避する攻撃も確認されています。しかしトレンドマイクロは、標的型攻撃検出をSandboxだけに依存しているわけではありません。日本国内をはじめ、グローバルにおける攻撃の傾向をビッグデータとして持っているため、たとえSandboxを回避するような攻撃があっても、静的解析によって検出することが可能です。こうした多段階の対策は多くのお客様にも支持をいただいています。

――ありがとうございました。
《吉澤亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★~(=^・ω・^)ノ☆★11月30日まで Scan PREMIUM 20周年特別半額キャンペーンを実施中 ★★
★~(=^・ω・^)ノ☆★11月30日まで  Scan PREMIUM 20周年特別半額キャンペーンを実施中 ★★

創刊 20 周年の感謝と御礼をこめ、通常年間 23,333 円(税抜) で提供されるScan PREMIUM ライセンスを、半額以下である 9,900 円(税抜)で 提供するキャンペーンを、11 月末日まで実施します。

×