過去に遡って脅威を検知する「レトロスペクティブセキュリティ」が重要に -- シスコが買収したソースファイアのSVPに聞く

EnterpriseZine / 2013年11月12日 11時0分

 今年7月にシスコシステムズが約27億ドルで買収することを発表し、10月に同社に統合されたソースファイア。オープンソースのIDS(侵入検知システム)であるSnortの開発者Martin Roesch(現CTO)が2001年に設立した企業だが、近年では、Snortを基盤技術として、次世代ファイアウォールやアンチマルウェア製品などを手がけるネットワークセキュリティベンダーに成長している。来日したCloud Technology and Strategy担当SVP(シニア・バイス・プレジデント)のオリバー・フリードリッヒ氏に同社が近年提唱している新しいセキュテリィモデルについて話を聞いた。

■ユーザーの3分の2は、同じマルウェアに繰り返し感染する

 ソースファイアが提唱する新しいセキュリティモデルは、標的型攻撃やAPT攻撃などに代表される巧妙で高度な攻撃に対抗するものだ。APT攻撃で見られるパターンの1つに、侵入した未知のマルウェアの「潜伏」がある。ファイルを開いたタイミングで感染の症状が出るのではなく、数日から数ヵ月の間なりを潜め、忘れたころに活動を開始して、感染を拡大する。

 APT攻撃に有効とされるサンドボックス型の検知技術も、こうした未知のマルウェアの潜伏には弱いとされている。サンドボックス型の検知技術は、マルウェアを仮想マシン内で実際に実行し、外部からのファイルのダウンロードや、外部に対するPC情報の送信などをチェックし、マルウェアかどうかを判定する。だが、仮想マシン内で実行されるのは最初だけで、そのチェックをすり抜けてさえしまえば、以降はマルウェアとは見なされなくなるからだ。

 フリードリッヒ氏は「攻撃者は既存の防御製品をテストしたうえで攻撃してくる。新しい防御の技術をつくりだしても、それをバイパスする技術はすぐ生まれる。シングルポイント、シングルタイムでの検知では最近の脅威には対抗できなくなっている」と主張する。

 実際、ソースファイアが企業ネットワークでどんなマルウェアに感染する傾向があるかを調査したところ、過去1ヵ月間に脅威を検知したユーザーは9%で、そのうちの3分の2は、同じマルウェアへの感染を複数回繰り返していることが分かったのだという。このうち月10回を超えて感染を繰り返していたユーザーは20%に達し、月100回以上の感染を繰り返していたユーザーも1.6%存在した。

  • 前のページ
    • 1
    • 2
  • 次のページ
EnterpriseZine

この記事に関連するニュース

トピックスRSS

ランキング