未知のマルウェアを安全に実行して検知、チェック・ポイントが新製品：NEWS

チェック・ポイント・ソフトウェア・テクノロジーズがマルウェア対策の新製品を発表。仮想的なクライアントPC環境で不審なファイルを実行し、未知のマルウェアを検知する。

[鳥越武史，TechTargetジャパン]

　チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）は3月8日、新種のマルウェアを検知する新製品「Threat Emulation Software Blade」を発表した。システムから隔離された仮想的なクライアントPC環境「サンドボックス」で不審なファイルを実行して振る舞いを調べ、マルウェアであるかどうかを判別する機能を備える。2013年第2四半期に販売を始める。

　サンドボックスで不審なファイルを実行し、ファイルシステムやレジストリへの操作内容、マルウェア制御サーバ（C＆Cサーバ）への接続といったネットワーク接続内容、プロセスの動作を監視。悪意のある振る舞いをしている場合、マルウェアとして検知する。サンドボックスでマルウェアを動作させてもOSには影響がない。サンドボックスで再現可能なのは、Windows XP／7／8環境。解析可能なファイル形式は、EXE、PDF、Microsoft Officeドキュメント。

　LANに設置するアプライアンスでサンドボックス解析を実施。マルウェアだと判断したファイルをブロックすることで、安全なファイルのみをLANに流すことができる。サンドボックス解析は、チェック・ポイントのクラウド環境で実行するクラウドサービスとしても提供する。

　サンドボックス解析は一般に時間がかかるので、処理の高速化のために無駄なサンドボックス解析を減らす仕組みも盛り込んだ。具体的には、既に安全であることが確認できているファイルをホワイトリストとして指定し、サンドボックス解析から除外する機能を備えた。この仕組みにより、「実際にサンドボックス解析を実行するファイルを全体の2～3割程度に抑えることができる」（システムエンジニアリング本部本部長の村田眞人氏）。

　検知したマルウェアの情報は、チェック・ポイントのクラウド環境で運用するセキュリティデータベース「ThreatCloud」に自動で登録。登録された情報は、他のユーザー企業が利用するThreat Emulation Software Bladeに配信する。「最新のマルウェアに対する防御体制を容易に構築できる」（村田氏）

　サンドボックス解析機能自体は、シマンテックやフォーティネットジャパンなど他のセキュリティベンダーも既に提供しており、新しい技術ではない。チェック・ポイントがこの時期にThreat Emulation Software Bladeを販売するのは、「ゲートウェイセキュリティ製品の調達要件に、サンドボックス解析機能があることを挙げる企業や組織が増えてきた」（村田氏）ことが背景にあるという。

　Threat Emulation Software Bladeは、チェック・ポイントのパートナー経由で販売する。価格は発表時点では未定で、発売開始時期までに詰める。