高度なサイバー攻撃「APT(Advanced Persistent Threat)攻撃」から企業システムを守る製品が相次ぎ日本市場に登場した。EMCジャパンは2011年12月6日、買収した米ネットウィットネスの製品を国内で発売。米ファイア・アイも日本での営業要員を2011年後半に増員した。
APT攻撃では、ある組織に狙いを定め、その組織にカスタム化した新種のウイルスを送りつける。従来の製品の多くは、過去のウイルス情報を基に攻撃を検知するため、未知のウイルスは検知しにくかった。今回の製品は、こうしたウイルスも検知できる(図)。
EMCの「RSA NetWitness」は、組織内ネットワークを流れる全パケットを監視、サイバー攻撃と疑われる通信を検知する。
同製品は、パケットを収集する専用機器と解析用ソフトウエアからなる。このうち専用機器は、膨大なパケットから、送信先やファイルの種類など解析に必要な属性情報を抽出し、データベース化して解析用ソフトに引き渡す。属性情報は元データの10分の1の容量なので、高速に解析できるという。価格は標準構成で4000万円。
米ファイア・アイが提供する専用機器「FireEye MPS」は、組織内ネットを流れるパケットを基に、PCに送られた実行ファイルやPDFなどを再構成できる。そのファイルを、PCの環境を模した仮想マシン上で動作させることで、ウイルスのような挙動を示すかどうかを検証できる。ファイルが特定の外部サーバーと通信していると分かれば、社内からそのサーバーのIPアドレスへのパケット送信を遮断できる。専用機器の価格は250万円から。
アプリケーション仮想化ソフトをAPT攻撃対策として売り込んでいるのがシトリックス・システムズ・ジャパンだ。同社のソフト「XenApp」を使えば、サーバー上の仮想化環境で動作するブラウザーをPCから遠隔利用できる。
APT攻撃で使われるウイルスは一般に、http通信と偽装して外部サーバーと通信することが多い。社内のサーバー上で動作するブラウザーを使うことで、PCから外部へのhttp通信を遮断できる。ブラウザーからPCへは画像を送信するだけなので、ブラウザーからPCのデータが漏れるリスクはないという。
