パロアルトネットワークスは2013年6月18日、マルウエアの可能性がある未知のファイルをサンドボックス上で実行させて判定する専用装置「Palo Alto Networks WF-500アプライアンス」(写真1)を発表した。同社製ファイアウォール機器「PAシリーズ」と組み合わせて使う。これまでクラウドサービスとして提供してきたサンドボックス機能をオンプレミスに配置できるようにした。6月3日から販売している。開発会社は、米Palo Alto Networks。
WF-500は、未知の実行ファイルをサンドボックス(エンドユーザーのWindows XPデスクトップ環境を模した仮想環境)の上で実際に動作させ、マルウエアかどうかを判定する専用装置である。ファイアウォールのPAシリーズと連携し、PAシリーズがパケットから再構成した実行ファイルを判定する。後述するクラウドサービスを利用すれば、マルウエアのシグネチャーも入手できる。
サンドボックスによるマルウエア判定機能はもともと、「WildFire」と呼ぶ同社のクラウドサービスで提供している(関連記事:パロアルト、仮想VM向けに管理IPをRESTで変えられるファイアウォール新OS)。今回、PAシリーズが未知のファイルを送信する先のサーバーの選択肢を広げ、インターネット上のWildFireだけでなく、オンプレミスのWF-500を選べるようにした形である。これにより、未知のファイルを社外(インターネット)に送出することなく、自社内だけで判定できるようになった。
ただし、WF-500でできることはマルウエアの判定までであり、シグネチャーの作成機能は提供しない。シグネチャーを作成/入手する場合は、WF-500がマルウエアと判定したファイル(検体)をクラウドサービス(WildFire)に送信する必要がある。シグネチャーを作成するかどうか(検体を提供するかどうか)は、任意に設定できる。また、WildFireの場合は専用のXML APIを介して任意の業務システム(メールサーバーなど)からファイルを受けとることができるが、WF-500がファイルを受け取れるのはPAシリーズだけである。
WF-500は、一つのモデルで構成する。処理性能としては、1日当たり4500個のファイルを判定できる。サンドボックスとしては、Windows XPベースの同一設定の仮想マシンを、同時に18個立ち上げている。
WF-500の価格はオープンで、「PAシリーズのハイエンド機種と同等程度」(パロアルトネットワークス)という。販売代理店は、ネットワンシステムズ、日立ソリューションズ、テクマトリックス、SCSKの4社で、このうちテクマトリックスの販売価格(税別)は、2587万5000円。なお、WF-500を使うためには、WF-500に加えてPAシリーズが必要。さらに、PAシリーズからマルウエア判定機能を利用するための年額ライセンス「WildFireサブスクリプション」(年額は、本体価格の20%)が必要になる。
第5段落で仮想マシンの数を16個としていましたが18個の誤りです。お詫びして訂正します。本文は修正済みです。[2013/6/19 16:00]
テクマトリックスの販売価格を追記しました。[2013/6/18 14:45]
