パロアルトネットワークスは2015年10月13日、クラウド上に用意したサンドボックスでマルウエアを検知するサービス「WildFire」に関連した二つの新サービスを発表した。(1)Salesforce.comやDropboxなどのSaaSアプリケーションの上で流通するファイルについてマルウエア検知を実行するサービス「Aperture」(2016年第1四半期に提供予定)と、(2)脅威情報(インテリジェンス)の検索機能をクラウド型で提供するサービス「AutoFocus」(2015年9月から提供中)である。いずれも年額制で提供する。
(1)のApertureは、企業が利用するSaaSアプリケーションの上で管理されているファイルがマルウエアかどうかを調べて可視化するクラウドサービスである。取引先などとの間でSaaSを介してファイルをやり取りしている場合などにおいて、こうしたファイルを介したマルウエア感染を防止する(画面1)。個々のSaaSが用意しているAPIを介してSaaS上のファイルの情報(実行形式ファイルの検体や、ハッシュ値)を収集し、サンボドックスを使ってマルウエアかどうかを調べる。ファイルのリスクを計算して、検疫や利用者への通知を実行する機能を備える。
記事執筆時点で全6種類のSaaSに対して利用できる。Salesforce.com(CRMやSFAなど)、Google Drive(文書管理/共有)、Dropbox(文書管理/共有)、Box(文書管理/共有)、GitHub(ソースコードのバージョン管理/共有)、Yammer(企業SNS)、である。早々にOffice 365にも対応するなど、ラインナップを順次増やす。
(2)のAutoFocusは、SoC(セキュリティオペレーションセンター)向けの脅威情報サービスである。インテリジェンス(マルウエアの傾向や攻撃者の情報、アドバイスなどの見識)をマネージド型の運用サービスとして提供するタイプのサービスではなく、脅威情報のデータベースを検索する機能をサービスとして提供する(画面2)。AutoFocusの位置付けについてパロアルトネットワークスでエバンジェリスト兼テクニカルディレクターを務める乙部幸一朗氏(写真)は、「高額なインテリジェンスサービスを契約しなくても、自分で脅威情報を検索して何が起こっているのかを把握できる」と説明する。
脅威情報のデータベースは、WildFireのデータのほか、同社のリサーチチーム「Unit 42」が調査した情報、さらにサードパーティーと共有している脅威情報、などで構成する。Unit 42では、個々のイベントを脅威情報と関係付けて攻撃の全体像を把握できるように、脅威の種類などに応じて247種類のタグを付けて管理する。ユーザーが独自にタグを追加することもできる。
