セキュリティベンダーの米マカフィーは2013年3月、ValidEdgeのマルウエア検出用サンドボックス技術を買収したと発表。4月2日には、この技術をマカフィー製品に搭載することを明らかにしている(関連記事)。これによってマルウエア対策がどのように変わるかを、ネットワークセキュリティ担当のシニアバイスプレジデントであるカルフーン氏に聞いた。
今回の買収の目的を教えて欲しい。
マカフィーは、多くの製品を統合することでマルウエアを特定・識別できる確率が高くなると考えている。また現在、ネットワーク側でマルウエアを検出する技術は、マルウエアの識別において高い効用がある。当社は昨年、ValidEdgeのサンドボックス技術を買収した。その技術を今年、製品のなかに組み込んでいく。
ValidEdgeのサンドボックス技術を統合することで、さらに検出率が高まり、新しいタイプのマルウエアも識別できると考えている。包括的なマルウエア防御ということになる。
サンドボックス技術は、どのような効用を持つのか。
まず、エンドポイント(パソコンにインストールした法人向けマルウエア対策ソフト)を中心としたセキュリティ統合管理ツール「ePO」について触れておきたい。このePOのオプションに「Real Time for ePO」という製品がある(注:Real Time for ePOは米国で発売直後。日本は未発売)。これを使うと、エンドポイントに問い合わせて数秒でどのエンドポイントがマルウエアに感染したかを正確に特定できる。そのエンドポイントからマルウエアを除去することも可能だ。この対策は、エンドポイントがePOで管理されていることによって実現できる。
ValidEdgeの技術では、サンドボックスにおいて標的とするエンドポイントが搭載するOSでマルウエアを動作させ、悪さをしないかどうかを見る。ePOを使うとエンドポイントの設定がわかるので、サンドボックスをエンドポイントの設定と同じようにできる。マルウエアは、OSの特定のバージョンに存在する脆弱性を突いてくる。それを正確にサンドボックスで再生することが重要だ。
このサンドボックスは、既存のIPS製品やWebセキュリティゲートウエイ製品と連携する形で、マルウエア検出の一部で使われるようになる。包括的なマルウエア防御では、4つの方法でマルウエアを見つけ出す。