サンドボックスAPT Inspector

APT Inspectorアプライアンス 460万円(税抜)より

APT Inspectorの特徴

APT Inspectorは、サンドボックスエンジン搭載のアプライアンスと、エンドポイント型の振る舞い検知・隔離までが可能なエージェントで構成されています。アプライアンスと、エージェントが連携することにより、シグネチャのない新種の標的型攻撃にも、検知だけでなく、防御までをトータルで提供可能です。

APT Inspectorによる保護の仕組み

サンドボックスエンジン搭載のアプライアンスは、以下のような3段階の処理を実行します。

  1. トラフィック分析により、攻撃者が運営するC&Cサーバへの接続を検知すると、TCPリセット等のパケット送信により通信を遮断する等、セッションベースの検知と防御を行います。
  2. メールやウェブのトラフィックからファイル(圧縮ファイル、オフィスファイル、実行ファイル等)を抜出し、それらをシグネチャにより分析し、悪意のあるファイルであるかについての検証を行います。悪意のあるファイルであった場合にはエージェントと連携して端末上で実行されることを阻止します。
  3. シグネチャ分析を通過したファイルであれば、これをサンドボックスエンジンに投入し、仮想マシン上の隔離されたWindowsXPやWindows7で実行させ、ファイル改竄や不適切な通信などの攻撃が開始されないか等、その振る舞いを確認します。

 

すべてのトラフィックは、以上の3段階の検査を経るため、ゼロデイ攻撃や、ソーシャルハッキングなど、シグネチャの有無や、感染前・感染後にかかわらない保護が可能です。

エンドポイントとの連携

エンドポイントのモジュールは、振る舞い検知・隔離により、未知のマルウェアの検出と、データ漏洩や不適切な外部接続と推察されるトラフィックの遮断を行います。これにより、マイナンバーをはじめとする個人情報や企業情報の漏洩を防ぐことや、他の端末に対する二次感染を防ぐことが可能です。
エンドポイントのモジュールは、ネットワークドライバ同等のカーネルドライバ領域にインストールされるため、他社のアンチウィルスソフトウェアとの共存が可能です。
また、OSとしてWindowsXPをサポートしているところも現実的です。

エンドポイントのモジュールを導入できない複合機、POSレジ、工作機械などのIT機器については、アプライアンスからの強制的な通信リセットパケットの送信でセッションを切断する等により、情報の流出を防ぐことが可能です。