写真1●日本法人のLastlineでカントリーマネージャを務める伊藤一彦氏
[画像のクリックで拡大表示]
写真2●米Lastlineの共同設立者でチーフサイエンティストのクリストファー・クルーゲル(Christopher Kruegel)氏
[画像のクリックで拡大表示]

 標的型攻撃対策ソフトベンダーの米Lastlineは2014年12月10日、都内で発表会を開き、2012年10月15日に日本法人のLastlineを設立したと発表した。日本法人のカントリーマネージャは伊藤一彦氏(写真1)。国内販売代理店は現在3社で、同社製品を2012年9月から販売しているテリロジーに加え、新たにSCSKが12月8日、NTTデータ先端技術が12月10日から販売を開始した。

 Lastlineの製品は、ゲートウエイ/クラウド型で動作する標的型攻撃対策ソフトである。スイッチのミラーポート経由でパケットを収集してマルウエアが含まれているかどうかを調べ、未知のファイルについてはオンプレミスまたはクラウド上のサンドボックスで振る舞いを検知する。マルウエアを検知した場合は、リセットパケットによって通信を遮断したり、感染端末を切り離したり、ISPなどと連携してC&Cサーバーとの通信を禁止したり、といった処理がとれる。

 製品は、大きく三つのソフトウエアで構成する。「Manager」は、管理ソフトである。「Sensor」は、ネットワークパケットをキャプチャーするソフトである。パケットからファイルを構成し、ハッシュ値によって既知のマルウエア/攻撃ファイルかどうかを調べ、未知のファイルについてはManagerを経由してサンドボックス機能を提供する「Engine」に渡す。マルウエア検知時にリセットパケットを発行するといった処理もSensorが行う。Sensorは社内LANに設置する必要があるが、ManagerとEngineは、オンプレミスに設置する方法のほかクラウドサービス型で利用することもできる。

 米Lastlineでは、Engineが提供するサンドボックスについて「次世代サンドボックス」と形容する(写真2)。これは、OS環境を模倣するエミュレーション形式のサンドボックスの一種であり、現在の標的型攻撃対策製品の多くが採用しているやり方とは異なる。つまり、現実のOS/アプリケーション環境をそのまま用意して、ここでマルウエアを動作させた結果を調べるやり方とは異なる。

 同社製品は、エミュレーション形式のサンドボックスだが、従来のエミュレーション型サンドボックスとは異なり、システム環境をフルにエミュレーションするという。これにより、ファイル操作のシステムコールなどのような目立つ振る舞いだけでなく、従来のエミュレーション型サンドボックスでは検知していなかった細かい振る舞いまでを調べるという。これにより、マルウエアや不正ファイルを適切に検知できるとしている。マルウエアの振る舞いそのものを調べる方式であるため、現実のOS/アプリケーション環境を用意するやり方と比べても検知の網羅性が高いとしている。

 製品の提供価格は、販売代理店3社ともに個別見積もり。基本的には、SIサービスを含まないライセンス単体としては、年額制のユーザー人数ライセンスとなる模様。SCSKでは、おおよそ社員1人当たり年額1万円からとしており、NTTデータ先端技術もおおよそ社員1000人で年額1000万円程度としている。また、ブロードバンドセキュリティ(BBSec)が2013年10月に同製品を利用して開始したクラウドサービスは、1ユーザー当たり月額1000円である(関連記事:BBSec、サンドボックス使ったマルウエア解析を国内DCでクラウド提供)。