未知の脅威も防ぐシグネチャレスのエンジンがFireEyeの強み
ラスティンさんが勤務するFireEyeは、シリコンバレーの一角である米カリフォルニア州ミルピタス市に本社を置くセキュリティ企業です。会社設立は2004年、旧Sun Microsystemsでネットワークセキュリティのスペシャリスト(distinguished engineer、米国のIT企業に多いスーパーエンジニアに与えられる肩書き)だったアッシャー・アジズ(Ashar Aziz)氏が立ち上げました。アジズ氏は現在もボードメンバーを含むさまざま役職を兼任していますが、CEOの座は昨年12月にMcAfeeの元CEOであるデビッド・デウォルト氏に譲っています。
FireEyeが提供するセキュリティソリューションは、Web、メール、社内でのファイル共有の3つに対応するアプライアンスで、"高度な(advanced)"脅威に対応していることが最大の謳い文句です。どんなに強固なファイアウォールやアンチウイルスソフトで防御しようとも、マルウェア、ゼロデイ攻撃、標的型攻撃などの脅威は自然界のウイルス同様、生まれてすぐに形を変え、ワクチンへの耐性を獲得し、ほんのわずかなスキを見つけてはターゲットの環境にすばやく忍び込みます。「ファイアウォールなど従来型のセキュリティソリューションのほとんどは、シグネチャ(不正アクセスや攻撃の特徴をパターン化した、ウイルスコードごとにユニークな文字列)から脅威を検知するもので、これでは既知の脅威しか防ぐことはできない」とランスティンさん。いま、この瞬間に誕生したマルウェアなどの未知の脅威については、シグネチャファイルがないので従来型の検知システムでは防ぎようがないとのこと。
ではシグネチャに依存しないセキュリティをFireEyeはどのように実現するのでしょうか。たとえばメールの添付Excelに未知のマルウェアが仕込まれていた場合、受信者が見る前にどうやって防ぐのか。そのカギはシグネチャレスの「Virtual Executionエンジン」にあるとのこと。わずかでも疑わしいトラフィックをキャプチャする(フェーズ1)と、エンジン内の仮想ターゲット分析環境(仮想サンドボックス)で透過的に分析を行います。マルウェアの根城であるC&Cサーバとの通信からトレースファイルやシグネチャプロファイル、感染プロセスを分析し、クロと判定した場合は即刻ブロック、検知からブロックまでの時間はわずか数秒だそうです。マルウェアのデータは同社が提供する「Malware Protection Cloud」を通し、リアルタイムに情報共有が行われます。
「ほとんどのセキュリティベンダが対応しているのはWeb経由の侵入だけで、メールやファイル共有までカバーしている製品はFireEyeだけ。また、一部のベンダが提供しているクラウドベースのサンドボックスで解析できるのはファイルのみで、最初の侵入プロセスや感染後のプロセスは考慮されていない」とランスティンさん。既知の脅威はもちろん、未知の脅威も遮断できるソリューションとしての評価は高く、eBay、Yahoo!、Facebookなどの膨大なアクセスを抱えるネット企業やUBS銀行、プレデンシャル生命保険などの金融機関のほか、製造業やエネルギー業界、連邦政府/州/地方自治体などの政府当局に至るまで、幅広い分野の組織に導入されています。