写真●Deep Discovery powered by Express5800の外観
写真●Deep Discovery powered by Express5800の外観
[画像のクリックで拡大表示]

 NECは2012年7月27日、標的型攻撃を受けているかどうかを把握するためのアプライアンス機器「Deep Discovery powered by Express5800」(写真)を発表した。7月31日に販売開始する。トレンドマイクロが2012年5月に販売開始したアプライアンス機器「Deep Discovery」(関連記事)のソフトウエア部分を、NECのサーバーと組み合わせた製品である。下位モデルでは、トレンドマイクロの既存製品よりも安価に購入できる。

 トレンドマイクロの既存製品は、1モデル構成(デルのサーバーを使用、2CPU構成)で、本体価格(税別、以下同)は750万円である。これに対してNEC版は、2モデル構成を採用している。上位のAdvanced版(2CPU構成)の価格は745万2000円であり、既存製品と変わらない。この一方で、標準版(1CPU構成)の価格は475万2000円であり、既存製品よりも安価である。なお、アンケートベースで推奨設定を施す導入支援サービス「簡易SIパック」(98万円から)も用意する。

 Deep Discovery(およびDeep Discovery powered by Express5800)は、標的型攻撃対策製品の一つ。メール添付やWebダウンロードなどを介して企業内に入り込んできたファイルを、通信パケットをキャプチャーして抽出し、これを解析して、標的型攻撃を検知する。これにより、企業が実際にどのような標的型攻撃を受けているのかが分かる。攻撃ファイルの侵入を防止したり削除したりする機能は備えないため、必要に応じて別途対策を取る必要がある。業務用と個人用のストレージ領域を分けるサンドボックス技術

 受信したファイルが標的型攻撃であるかどうかは、動的解析(サンドボックス上でアプリケーションを実行)と、静的解析(判定ルール、IPアドレス、シグネチャなど)を組み合わせて判断する。各種プログラムのアクセス先を特定領域のデータに限定させる仕組みであるサンドボックスとしては、Windows OSやオフィスソフトを導入した仮想マシンを用意しており、ここでファイルを開いたり実行したりして、APIやシステムコールなどの振る舞いを調べる。