Tweet

レピュテーション技術を搭載した「Symantec Web Gateway 5.0」発表

「社内に潜む脅威を可視化」、シマンテックがボット検出サービス

2011/10/28

　シマンテックは10月27日、ネットワークトラフィックを検査し、マルウェアが含まれていないかどうかをチェックするアプライアンス「Symantec Web Gateway 5.0」を発表した。同時に、これを利用して社内に潜んでいるボットを洗い出す「ボットネット活動調査サービス」も開始する。

　Symantec Web Gatewayは、HTTP/HTTPS経由で侵入を試みるマルウェアをスキャンするほか、URLフィルタリングやアプリケーションコントロールといった機能を備えたセキュリティアプライアンス製品だ。新バージョンでは、シマンテックの観測網やユーザーからのフィードバック情報を基にしたレピュテーション技術「Insight」を統合した。何らかのファイルをダウンロードしようとした場合に、それが誰によっていつ作成され、どの程度ダウンロードされているかといった情報を基に、安全度を判断する。既存のシグネチャベースの検出や振る舞い分析に加え、レピュテーションベースの判断を組み合わせ、多層的な防御を実現するという。

　また、同社の情報漏えい対策製品「Symantec Data Loss Prevention」と連携し、Web経由で重要なデータが社外に流出する事態を阻止するという。SSL復号機能も備えているため、GmailやFacebookといったソーシャルネットワーキングサービスとの通信も可視化するという。

　Symantec Web Gatewayはインライン型、タップ型、どちらでも導入できる。中〜大規模ユーザー向けの「8450」は約70万円、大規模ユーザー向けの「8490」は約500万円。ほかに、仮想アプライアンスの「Virtual Edition」がある。

社内ネットワークに潜むボットを可視化

　最近、企業や政府組織を狙ったサイバー攻撃が明るみに出ているが、シマンテック 執行役員 マーケティング本部長の石崎健一郎氏は、「日本でもいよいよ標的型攻撃が現実的なものになった」と述べた。ターゲットに合わせてカスタマイズした攻撃により、ユーザーやIT管理者が気付かないうちにマルウェアやボットが入り込み、情報を持ち出されてしまう可能性もあるという。

　Symantec Web Gatewayは基本的に企業ゲートウェイ部分でトラフィックを監視する製品だが、社内トラフィックの精査にも利用できる。ボットネット活動調査サービスでは、ネットワーク内にSymantec Web Gatewayを設置して、10〜15日間ほどネットワークの状況を監視。各PCから、どんな相手との間でどういった通信が行われているかを把握、分析し、ボットに感染している疑いの高い端末を特定する。これによって、「内部にいる見えない敵、社内に潜む脅威を『可視化』する」（同社プロダクトマーケティング部 プロダクトマーケティングマネージャ ベイ・キサング氏）。

　?氏は、「『大丈夫、セキュリティ対策はやっている』という企業でも、調査してみるとぼろぼろ出てくる」という。実際に、ある企業で、約9000台のPCを対象に同サービスを実施したところ、ウイルスやマルウェアがダウンロードされた回数は23回、ボットを操作するコマンド＆コントロール（C＆C）へのアクセスが708回あったことが確認された。さらに、周辺の機器へのIPスキャンなどの挙動を行い「活動中」と判断できるボットが1台見つかったという。

　ボットネット活動サービスの対象は従業員1000名以上の企業で、価格は個別見積もり。