シマンテックは12月15日、米国で10月に発表した「Symantec Advanced Threat Protection(ATP)」を18日より国内提供すると発表した。当初は英語版の提供だが、日本語化も進めていく予定としている。
同製品は、ネットワーク監視などを行うプラットフォームアプライアンス「Symantec ATP Platform」とエンドポイントを守るウイルス対策ソフトウェア「Symantec Endpoint Protection」、クラウド型メールゲートウェイセキュリティ「Symantec.Cloud Email Security」で構成されている。アプライアンス製品は、メールゲートウェイとエンドポイントセキュリティと同調しながら、セキュリティ侵害に対処する。
ATPでは、クラウドベースの相関分析エンジン「SYNAPSE」とクラウドベースのベアメタルサンドボックス「CYNIC」、エンドポイント回復技術の「EDR」の各技術を採用している。
メールゲートウェイやネットワーク監視によって脅威を検知するのは従来と同じだが、ATP Platformで脅威判定を行う。既知の脅威は、当然ながらシグネチャで弾かれるものの、未知の脅威と判定されたものや「UNKNOWN」な疑わしい脅威はクラウドサンドボックスであるCYNICに送られる。ここで平均7、8分、最大でも15分以内でマルウェアかどうかの挙動を見極める。ただし、今回の新製品ではこれだけでは終わらず、メールゲートウェイやエンドポイントと同調して感染挙動を関連付ける。例えば、サンドボックスではマルウェアとして判定されたにもかかわらず、エンドポイントで対象ファイルが発見されなかった場合などには、隠匿されている可能性があるとして、対処すべきインシデントの優先順位が上がる。これがSYNAPSEの相関分析エンジンの効果で、企業内のインシデント対応をサポートする。
また、ATPは一つのコンソールで管理を行う。管理者はグラフィカルな画面で問題が起きている場所の特定から改善までを簡単に操作できるため、従来のSIEM製品のような煩雑な操作に悩まされる必要がなくなる。つまり、ATPはサンドボックスから小規模なSOC操作、マルウェア感染後の対処までをより簡単かつシンプルにした製品となる。
ネットワークとエンドポイントのアプライアンスについては、無償提供のバーチャルアプライアンス(VMware ESXi 5.5-6.0 / 4論理CPU 32GBメモリ 500GBストレージ環境で動作)と、モデル8840、8880の3製品が用意される。モデル8840は1Uで2つのモニターポートを搭載、1GbEを採用(実効速度は500Mbps程度)しており、価格は90万円。一方の8840は上位機種で、2Uで4つのモニターポートを搭載、10GbEを採用しており、価格は592万2000円となる(どちらも税別、為替変動によって変わる可能性があるため15日時点での価格)。
加えて、セキュリティインテリジェントのクラウドサービス活用を前提としているため、サブスクリプション契約が必要となる。最低構成はネットワーク監視とエンドポイントのサブスクリプション契約で1人当たり8300円、前述のメールゲートウェイを含めた契約では1人当たり9700円となる。なお、契約はユーザー数ベースとなっており、監視対象のデバイス数に制限はない。デバイスにはスマートデバイスは含まれず、既存エンドポイントのみとなる。
シマンテックが力説する"次世代のセキュリティ"とは?
シマンテックは同日、記者説明会を東京で開催した。シマンテック 執行役員 セールスエンジニアリング 本部長の外村 慶氏は、この新製品について「レジリエンス(回復力)とシンプルさを提供する製品」と説明する。
シマンテックはベリタスの分社化を行うなど戦略変更を進めている段階で、現在は「サイバーセキュリティサービス」と「脅威防止」「情報保護」「統合セキュリティ分析基盤」の4分野で組織の分割や投資の最適化を進めているという。
その中で、セキュリティ企業に最も大きく期待されているものが「脅威防止」となるが、その一方で「脅威を水際で100%止めることはできない」という現状認識が多くのベンダーから説明されており、"高い壁"を構築するだけでなく、「侵入を許した後にどうするか」を突き詰めることが重要になりつつあると指摘する。
「シマンテックも、以前はどのように壁を作るかに注力し、お客さまもそこに投資を行ってきた。しかし、経験則として、いくら強固な壁を構築しようとも、抜けてくるものが必ずある。わずか1~3%でも抜けてくれば、そこへの対応に追われるし、苦慮していることが課題だった。だからこそ、阻止というフォーカスから、『問題が起きた時にどのような対応を進めていくか』に視点を移さなくてはならない」(外村氏)
そこで必要になるのが「レジリエンス」と「シンプルさ」ということになる。ゴールを「入れないようにする」ことではなく、「入ってしまった後にいかに早く平常時に復旧できるか」に設定する時代になった。だからこそ、レジリエンスが必要になる。
「レジリエンスは大きな要素。サイバーセキュリティは量も質も悪化する一方で、対象となる企業も大小を問わなくなってきている。大企業は"壁"を高くできるし、レジリエンスもふんだんな投資によって解決できる。そこで重要になるのが中小規模の企業だ」(外村氏)
中小企業であってもセキュリティリスクが高まりつつある中で、セキュリティ体制を万全にするために必要なことが、もう1つのキーワードである「シンプルさ」となる。中小企業では、情報システム部門が5人~10人いれば良いほうで、場合によっては「セキュリティとネットワーク、バックアップ、仮想化、そのすべての担当者が1人というケースも多い」(外村氏)。そこで、今回のAPTはそうした"1人情シス"でもセキュリティを高められる製品に仕上げた。
「ITディバイドという言葉があったが、このままではセキュリティディバイドが起きてしまう。そうした格差を生まないようにするのがセキュリティ企業の役割だ」と外村氏。現在の標的型サイバー攻撃対策特化型製品市場は採用率が17.4%と、多数には至らない状況だが、シマンテックは「レジリエンスとシンプルというキーワードによって、これまでは複雑で敬遠されていた状況を変えたい」(外村氏)としていた。