ジュニパーネットワークスとカーボン・ブラック・ジャパンは2018年5月25日、都内で説明会を開き、マルウエアなどのサイバー攻撃を検知して被害を食い止めるセキュリティシステムの例として、両社のセキュリティ製品を組み合わせたシステムを提案した。例えば、パソコンの稼働ログからマルウエア感染端末を特定し、端末をファイアウォールで遮断するといった連携ができる。今後、両社共通のパートナー企業が、両社製品を組み合わせたsシステム構築サービスを提供する。
連携させる製品の1つは、カーボン・ブラック・ジャパンの「Cb Response」(米Carbon Black製)である。クライアントPC内部の動作履歴ログ(マルウエアの不審な挙動)を、クライアントPCにインストールするエージェントソフトで監視・記録する。エージェントが収集した情報は、管理サーバー上で可視化・分析できる。
動作ログの収集と分析によって、マルウエアに感染した端末などを発見できる。管理サーバーからエージェントに指示を出すことで、クライアントPCをネットワークから遮断して隔離する、といったアクションもとれる。未知のファイル(マルウエアの疑いのあるファイル)を外部のサンドボックス製品に送って調べるといった連携も可能である。
今回Cb Responseと連携させる製品は、ジュニパーネットワークスの2つのサンドボックス型マルウエア対策製品である。サンドボックスをクラウド型で提供する「Sky Advanced Threat Prevention」(Sky ATP)と、サンドボックスをオンプレミスで提供する「Juniper Advanced Threat Prevention Appliance」(JATP)である。Sky ATPとJATPは、提供形態だけでなく製品そのものが別製品であり、目的は同じだが細かい機能や使い方が異なる。
Sky ATPとJATPは、次世代ファイアウォール機器「Juniper SRX」などと連携し、ファイアウォールが備えるマルウエア対策機能を補完する。ファイアウォールを追加する未知のファイルをサンドボックスに送って振る舞いを調べ、マルウエアだった場合はハッシュ値やC&Cサーバーの情報をファイアウォールに反映し、既知の情報として遮断できるようにする。
説明会では、Cb ResponseとSky ATP/JATPを連携させることによって可能になる例を、いくつか紹介した。例えば、Cb Responseの管理サーバーからSky ATPにマルウエア感染端末のIPアドレスを通知することで、ファイアウォールのJuniper SRXで感染端末による外部へのネットワーク通信を遮断できる。反対に、Sky ATPがCb Responseにマルウエア感染端末の情報を通知し、Cb Responseのエージェントが端末をネットワークから切り離すという使い方もできる。
図1●Cb ResponseとSky ATP/JATPを連携させることによって可能になる例の1つ(出所:ジュニパーネットワークス)拡大画像表示
