ソフォスは2016年12月21日、ファイアウォール機器「Sophos XG Firewall」のOS新バージョン「16.5」を発表、同日提供を開始した。新版では、ファイアウォールを通過する際にマルウエアを検知できるように、クラウド経由でサンドボックス機能を使えるようにした。
クラウド型サンドボックスは、不正なコードを含んでいるかもしれない実行ファイルやOffice文書などを、クラウド上の仮想環境の上で実際に開き、その振る舞いを調べる機能である。検査したいファイルをクラウドに送るだけで、不正なコードを含んでいるかどうか、マルウエアかどうかを調べられる。
もともと、クラウド型サンドボックスは、ソフォスのUTM(統合脅威管理)機器「Sophos SGシリーズ」で提供済みの機能である。名称は「Sophos Sandstorm」(ソフォス・サンドストーム)。今回これを、ファイアウォール機器のSophos XGでも利用できるようにした。
Sophos XGは、実行ファイルや文書ファイルを中継する際に、いったん中継を止めておき、クラウド型サンドボックスで安全なファイルであることを確かめる。安全が確認できたら中継する。まずはファイルのハッシュ値だけをサンドボックスに送って既知の脅威かどうかを調べ、既知の脅威でなかった場合はファイルそのものを送って振る舞いを調べる。
今回のOS新版ではさらに、マルウエアに感染したエンドポイントとの通信を遮断する機能「Security Heartbeat」(セキュリティー・ハートビート)を強化した。これまではクライアントPCに限って遮断できていたが、新たにサーバー機も遮断できるようにした。この機能を「Destination Heartbeat Protection」(あて先ハートビート保護)と呼ぶ。
エンドポイントにインストールするセキュリティーソフトからの通知によって、Sophos XGは、そのエンドポイントがマルウエアに感染したことを知る。こうして、そのエンドポイントからの通信や、そのエンドポイントへの通信を遮断する。この前提として、通信の中継経路上にSophos XGを配置する必要がある。
