検索
特集/連載

怪しいコードをクラウドで分析、セキュリティ対策も“向こう側”へ仮想サンドボックスでマルウェアを調査

クラウドベースのマルウェア分析は、先端のマルウェア対策製品を手掛ける大手ベンダーと新興ベンダーの両方にとって必須の機能になっている。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 今やクラウドに向かうのはユーザーのデータやアプリケーションにとどまらず、マルウェアもクラウドに向かうようになった。だが意外にも、それは朗報かもしれない。

 先端のマルウェア対策製品を手掛ける米Cisco SystemsのSourcefire部門や米Palo Alto Networksなどのベンダー、米Lastlineのような新興企業は、クラウドベースの仮想サンドボックスを作り出し、マルウェアなどの潜在的に危険なコードを迅速に分析して発見できるようにしてきた。

 先端のマルウェアを発見して食い止めるためにクラウドを使う理由は単純だ。Web上に出回る悪質なコードの量が増大する中、マルウェア対策ベンダーがクラウドベースの仮想サンドボックスを利用すれば、その増大に応じてリソースを拡張できる。

 米調査会社Gartnerのアナリストで調査ディレクターのローレンス・ピングリー氏によれば、そうしたクラウドベースの仮想サンドボックス環境は拡張性の高さが最大のメリットであり、同技術の利用が1〜2年の間に先端のマルウェア対策ベンダーの新興トレンドから製品ポートフォリオの中心へと急成長した理由もそこにある。

 「クラウドなら迅速な機能拡張が可能だが、オンプレミス型アプライアンスの機能拡張は難しい。その理由から、この種の仮想サンドボックスソリューションは先端のマルウェア対策において非常に重要なツールだと考える」とピングリー氏。

 Lastlineが新たに発表した先端のマルウェア対策製品では、クラウド利用のプロセスは比較的単純だ。異常を検知するLastlineのセンサーで不審あるいは正体不明のファイルやコード、ネットワークの挙動を発見し、それを既知のマルウェアなどの脅威と照らし合わせる。それでも潜在的脅威の正体が分からなければ、コードやファイルをLastlineのプライベートクラウドサンドボックスにアップロードして、さらに詳しい分析を行う。

 同社によれば、仮想サンドボックスは弾力性を特徴とし、アップロードするファイルの数に応じてCPUやメモリ、ストレージを増減してスケールアップやスケールダウンができる。さらに、サンドボックスはコンピュータのフルシステムをエミュレートする設計になっており、Lastlineはあらゆる潜在的危険について、エンドユーザーと同じ視点で見ることができる。分析はOS外で行われ、CPUを消費する。

 Lastlineの製品・事業開発担当副社長ブライアン・ラング氏は、同社の2011年の創業以来、「1日当たり数十万ものファイルやプログラム」が顧客からアップロードされていると話す。

 Lastlineのプライベートクラウドサンドボックスにアップロードされる件数が急増する原因はさまざまだとラング氏は言う。大規模な情報流出やマルウェア感染が相次いで注目を浴びているものの、同氏によれば、悪質なコードやファイルは単純なキーロガープログラムからベーシックな電子メールのトロイの木馬など数え切れず、そうした全てが積み重なって全体の量を押し上げているという。

 「急増の理由は必ずしも、新しいマルウェアのファイルがダウンロードされることにあるわけではない。マルウェアや悪質なコードの総数が増えていて、しかも毎日大量に加わるためだ」(ラング氏)。

 このシステムではファイルとメタデータがクラウド内で1カ所に集められるため、マルウェア分析能力の速さは競合他社と比べて圧倒的に有利になるとLastlineは説明する。

 「多数の顧客から同じようなリクエストが大量に寄せられれば、大規模な感染が起きている兆候が分かる。つまりクラウドのおかげでマルウェアの分析と対処により迅速に対応できている。例えば顧客100社で新種のマルウェアが出現したとすると、その顧客のネットワーク内で個別に100種類全てを分析する必要がある。だが今では顧客のネットワークと当社のクラウドが通信できるようになり、潜在的脅威に対する対応時間も短縮できている」(ラング氏)

 クラウドベースのマルウェア検出・分析機能を使った先端のマルウェア対策製品は、クラウドを使わない製品と比べてスピード面で大きなメリットがある。ただしクラウドには独自のリスクや複雑性もある。

 「デメリットは、ファイルをクラウド内の外部のソースに提出しなければならない点にある。多くの企業では、規制やコンプライアンス問題が妨げとなってそれができないかもしれない」とラング氏は言う。

 同氏によると、オンプレミス版の「Lastline Enterprise」はクラウド版に比べて値段が高い。それでもオンプレミス版を使い続ける顧客が多いという。オンプレミス版では不審なファイルやコードのメタデータのみをLastlineに転送して分析する。

 ラング氏は、「結局はポリシーで決まる」と話し、金融機関の顧客の多くは特定の種類のファイルやデータを第三者に転送することが認められていないと言い添えた。

 特定のファイルやデータを外部のクラウドにアップロードすることが、たとえ明確なコンプライアンス違反には当たらないとしても、企業はプライベートであれパブリックであれ、クラウドにセンシティブなデータを送信することに依然として不安を感じる。それでも前出Gartnerのピングリー氏は、クラウドベースのマルウェア対策はスピードと拡張性の点で多大なメリットがあり無視できないとし、「今は標準ではない。しかしいずれ標準になるかもしれない」と話している。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る