シスコシステムズは2014年3月5日、記者説明会を開き、直近に米国で発表された新製品/機能強化の紹介を含めた最新セキュリティ戦略について説明した。本稿ではそのうちの“目玉”となる、高度なマルウェア防御機能「Sourcefire AMP(Anti Malware Protection)」の特徴についてお伝えする。
Sourcefire AMPは、今日、世界中で蔓延する高度なサイバー攻撃/マルウェアの脅威に対して、迅速な検出・ブロックと継続的な分析、それに基づく修正などのマルウェア防御機能を総合的に提供するもので、シスコが2013年に買収したマルウェア対策製品ベンダーの米ソースファイアが開発した製品/技術である。今回、Webおよびメールセキュリティアプライアンス、クラウドWebセキュリティ サービスなどからなるコンテンツセキュリティ製品ポートフォリオに組み込まれ、「AMP Everywhere」として、今回初めてソースファイア製品がシスコ製品に正式に統合されたかたちだ。
「サイバー攻撃は日増しに進化、凶悪化を続け、従来型のアプローチではなすすべがなくなりつつある。こうした攻撃の進化に太刀打ちできるように、我々はSourcefire AMPを進化させた。この機能は、ネットワークと、攻撃の事前・最中・事後にわたる攻撃サイクル全体を継続的に監視・分析し、細かな挙動レベルで可視化するものだ」と、米シスコシステムズのクラウド デリバリ セキュリティサービス&スレット インテリジェンス シニア ディレクターのラジ・パテル氏は説明した。
「マルウェアを継続的に監視・分析し、細かな挙動レベルで可視化」というパテル氏の説明からは、IPS(侵入防止システム)の機能として特段に難度が高いものとは思えないかもしれない。だがシスコによると“細かな挙動レベル”での継続的な追跡監視を行えるIPSは、現在のところこのSourcefire AMPのほかに存在しないという。
前職で実際にソースファイア製品の開発を指揮していた、同社 セキュリティエンジニアリング Sourcefireアジア太平洋地域統括テクニカル・ディレクターのディーン・フライ氏によると、Sourcefire AMPは、トラジェクトリー(trajectory:弾道。犯罪捜査において、犯行の足跡全般を事細かに追跡する行為を指す)の概念でマルウェアを攻撃の事前・最中・事後にわたって継続的に監視する仕組みをとっているという。
「Sourcefire AMPを用いることで、今、社内のどこに悪意あるコードが紛れ込んだのか。その挙動は何が原因で起こって、そこからどこに向かっていくのか、といったレベルでマルウェアの挙動を追うことができる。これは、蓄積された過去のアクセスログベースのIPSでは不可能なことで、ソースファイア独自のふるまい検知技術によって実現されている」(フライ氏)
説明会ではSourcefire AMPの操作デモも行われた。管理者は、社内のネットワークおよびデバイスの全体状況を示すダッシュボード画面からマルウェアの侵入を把握し、ファイルベースおよびデバイスベースのトラジェクトリー画面に移って、侵入から攻撃発動に至るマルウェアの挙動の詳細をつかむことができる。また、レトロスペクティブという、マルウェア挙動発生を時間軸の切り替えで容易に把握できる機能が備わっており、履歴から過去に発生したマルウェアの挙動を呼び出すことも可能だ。
「AMP Everywhere」と表されるように、こうしたSourcefire AMPのようなセキュリティ技術/製品を同社製ネットワークデバイスやサーバーと統合できる点がシスコの最大の強みだと言える。パテル氏は、「今後も引き続き、有力なセキュリティ関連製品ベンダーの買収を推し進めることにより、ユーザー企業の“今ここにある脅威”への解を提供していく」と強調した。