新アプライアンス「McAfee Advanced Threat Defence」はFireEyeに追い付けるか
本カンファレンス開催と同時にMcAfeeはいくつかの発表を行っているが、最大の目玉は新アプライアンス「McAfee Advanced Threat Defene(ADT)」だろう。これはメールに添付されたファイルやWebからのダウンロードファイルなどに潜む、マルウェアの疑いがあるコードを検知するソリューションで、サンドボックス上で仮想的にコードを実行(エミュレーション)し白黒を判定するタイプのものだ。この分野ではFireEyeがパイオニアとして先行しており、Palo Alto NetworksやCheck Point Technologiesなどが続いているが、McAfeeもようやく本格的な参入を果たすことになる。
このタイプの製品で注目されるポイントは、既知の脅威はもちろんのこと、未知の未知(Unknown Unknowns)と呼ばれるまだその存在を知られていない脅威をいかに正確かつ迅速に検知できるかだ。未知のマルウェアであっても、検出エンジンのアルゴリズムが優れていれば高い精度で検出することが可能になる。
McAfee ADTの特徴について、ディシーザー氏は「Find、Freeze、Fixの3つのFを備えたフレームワーク」と表現する。「疑いのあるコードをサンドボックス上でエミュレーションするだけでは十分ではない。最近はサンドボックスを巧妙にすり抜けるタイプのマルウェアも増えてきている。McAfee ADTは、膨大なインテリジェンスをベースにした高い精度のエンジンでマルウェアを検出できるだけでなく、企業が取るべきその次のアクション - 感染の防止や感染した端末に対する速やかな対応につなげることができる」とディシーザー氏。
サンドボックスを実装したアプライアンス単体ができることはマルウェアの検出、いわゆる"Find"の段階までだが、McAfee ADTの場合、「McAfee ePO」「McAfee Real Time」といった既存製品との連携により、端末への感染を防ぎ(Freeze)、万一、サンドボックスをバイパスされて端末が感染した場合でも感染端末の洗い出しや対策の適用を迅速に行う(Fix)ことができるとしている。「マルウェアから端末をプロテクトする3つのFを備えたエンドツーエンドなソリューションを提供できるのはMcAfeeだけ」とディシーザー氏は強調する。セキュリティ製品は単体ではなく、インテグレートすることでより高い効果を得られるというMcAfeeのポリシーがあらわれた製品といえる。提供開始は2013年第4四半期の予定だ。
