クラウドベースのマルウェア分析は、先端のマルウェア対策製品を手掛ける大手ベンダーと新興ベンダーの両方にとって必須の機能になっている。
今やクラウドに向かうのはユーザーのデータやアプリケーションにとどまらず、マルウェアもクラウドに向かうようになった。だが意外にも、それは朗報かもしれない。
先端のマルウェア対策製品を手掛ける米Cisco SystemsのSourcefire部門や米Palo Alto Networksなどのベンダー、米Lastlineのような新興企業は、クラウドベースの仮想サンドボックスを作り出し、マルウェアなどの潜在的に危険なコードを迅速に分析して発見できるようにしてきた。
先端のマルウェアを発見して食い止めるためにクラウドを使う理由は単純だ。Web上に出回る悪質なコードの量が増大する中、マルウェア対策ベンダーがクラウドベースの仮想サンドボックスを利用すれば、その増大に応じてリソースを拡張できる。
米調査会社Gartnerのアナリストで調査ディレクターのローレンス・ピングリー氏によれば、そうしたクラウドベースの仮想サンドボックス環境は拡張性の高さが最大のメリットであり、同技術の利用が1~2年の間に先端のマルウェア対策ベンダーの新興トレンドから製品ポートフォリオの中心へと急成長した理由もそこにある。
「クラウドなら迅速な機能拡張が可能だが、オンプレミス型アプライアンスの機能拡張は難しい。その理由から、この種の仮想サンドボックスソリューションは先端のマルウェア対策において非常に重要なツールだと考える」とピングリー氏。
Lastlineが新たに発表した先端のマルウェア対策製品では、クラウド利用のプロセスは比較的単純だ。異常を検知するLastlineのセンサーで不審あるいは正体不明のファイルやコード、ネットワークの挙動を発見し、それを既知のマルウェアなどの脅威と照らし合わせる。それでも潜在的脅威の正体が分からなければ、コードやファイルをLastlineのプライベートクラウドサンドボックスにアップロードして、さらに詳しい分析を行う。
同社によれば、仮想サンドボックスは弾力性を特徴とし、アップロードするファイルの数に応じてCPUやメモリ、ストレージを増減してスケールアップやスケールダウンができる。さらに、サンドボックスはコンピュータのフルシステムをエミュレートする設計になっており、Lastlineはあらゆる潜在的危険について、エンドユーザーと同じ視点で見ることができる。分析はOS外で行われ、CPUを消費する。
Lastlineの製品・事業開発担当副社長ブライアン・ラング氏は、同社の2011年の創業以来、「1日当たり数十万ものファイルやプログラム」が顧客からアップロードされていると話す。
Lastlineのプライベートクラウドサンドボックスにアップロードされる件数が急増する原因はさまざまだとラング氏は言う。大規模な情報流出やマルウェア感染が相次いで注目を浴びているものの、同氏によれば、悪質なコードやファイルは単純なキーロガープログラムからベーシックな電子メールのトロイの木馬など数え切れず、そうした全てが積み重なって全体の量を押し上げているという。
「急増の理由は必ずしも、新しいマルウェアのファイルがダウンロードされることにあるわけではない。マルウェアや悪質なコードの総数が増えていて、しかも毎日大量に加わるためだ」(ラング氏)。
このシステムではファイルとメタデータがクラウド内で1カ所に集められるため、マルウェア分析能力の速さは競合他社と比べて圧倒的に有利になるとLastlineは説明する。
「多数の顧客から同じようなリクエストが大量に寄せられれば、大規模な感染が起きている兆候が分かる。つまりクラウドのおかげでマルウェアの分析と対処により迅速に対応できている。例えば顧客100社で新種のマルウェアが出現したとすると、その顧客のネットワーク内で個別に100種類全てを分析する必要がある。だが今では顧客のネットワークと当社のクラウドが通信できるようになり、潜在的脅威に対する対応時間も短縮できている」(ラング氏)
クラウドベースのマルウェア検出・分析機能を使った先端のマルウェア対策製品は、クラウドを使わない製品と比べてスピード面で大きなメリットがある。ただしクラウドには独自のリスクや複雑性もある。
「デメリットは、ファイルをクラウド内の外部のソースに提出しなければならない点にある。多くの企業では、規制やコンプライアンス問題が妨げとなってそれができないかもしれない」とラング氏は言う。
同氏によると、オンプレミス版の「Lastline Enterprise」はクラウド版に比べて値段が高い。それでもオンプレミス版を使い続ける顧客が多いという。オンプレミス版では不審なファイルやコードのメタデータのみをLastlineに転送して分析する。
ラング氏は、「結局はポリシーで決まる」と話し、金融機関の顧客の多くは特定の種類のファイルやデータを第三者に転送することが認められていないと言い添えた。
特定のファイルやデータを外部のクラウドにアップロードすることが、たとえ明確なコンプライアンス違反には当たらないとしても、企業はプライベートであれパブリックであれ、クラウドにセンシティブなデータを送信することに依然として不安を感じる。それでも前出Gartnerのピングリー氏は、クラウドベースのマルウェア対策はスピードと拡張性の点で多大なメリットがあり無視できないとし、「今は標準ではない。しかしいずれ標準になるかもしれない」と話している。
Copyright © ITmedia, Inc. All Rights Reserved.
自社のWebサービスやアプリの安全性をチェックする脆弱性診断は、これまでIT部門で担当することが多かったが、開発部門や事業部門でも実施したいというニーズが高まっている。求められているのは、より手軽な脆弱性診断ツールだ。
クラウドの活用や拠点の分散が進む中で、従来型SD-WANの脆弱性がランサムウェア攻撃を増大させる一因になっている。今こそゼロトラスト型アーキテクチャのアプローチが求められているといえるだろう。本資料では、その方法を解説する。
企業のITシステムがクラウドに移行するに伴い、サイバー脅威のリスク増大やネットワークパフォーマンスの低下が問題視されている。そこで本資料では、世界の50以上の地域にデータセンターを擁するNetskope SASEソリューションを紹介する。
ネットワークの機器やソフトウェアなどの脆弱性を突く手法であるゼロデイ攻撃は、修正プログラムがリリースされるまでの期間に攻撃を行うため、抜本的な対策が難しいといわれている。本動画では、その理由と有効な対策を紹介する。
事業者が運用してきたドメインを手放した直後に、第三者がそれを取得し、偽サイトなどを公開して悪用する「ドロップキャッチ」という攻撃の手口がある。このような不正を未然に防ぐための対策を、2分弱の動画で解説する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
