At-A-Glance
Cisco Web セキュリティ上の
高度なマルウェア対策
高度なマルウェア対策（AMP）
は、
マルウェア検出およびブロック、継続的な分析、過去にさか
のぼるアラートを実現する、包括的なソリューションです。シスコと Sourcefire
（現在はシス
コの一部門）
による、広範に及ぶクラウド セキュリティ インテリジェンス ネットワークを使用
します。
巧妙な攻撃者は、
セキュリティ技術がどのように機能し、
どこに導入されているかも理解して
います。コンテキストを認識する標的型マルウェアを作成することで特定時点の防御を回避
します。このマルウェアは検出をすり抜けられるように動作を変更し、拡張されたネットワー
クへ侵入してしまえば、特定しにくくなり、撲滅は困難です。
AMP は、Cisco® Web セキュリティ ソリューションにライセンスを追加するだけで利用でき
ます。攻撃が仕掛けられる前、その最中、
および攻撃の後も、途切れることなく優れた保護機
能を発揮します。コスト効果が高く、簡単に導入できる高度なマルウェア対策です。
このような脅威に対処するには、
拡張されたネットワークに対する継続的な監視と分析を、
攻撃
が仕掛けられる前、
その最中、
および攻撃の後も行うセキュリティ ソリューションが必要です。
図 1. AMP によるレトロスペクティブ分析
初期の要素 = 問題なし
ウイルス対策の
サンドボックス
AMP はファイル レピュテーション、
ファイル サンドボックス、
レトロスペクティブ ファイル分
析を組み合わせて使用し、脅威を特定し、一連の攻撃に対して脅威を防止します。次の機能
が含まれています。
実際の要素 = 悪質 = 手遅れ!!
100% ではない
特定時点の検出
侵害範囲を
認識しない
分析を停止
AMP
レトロスペクティブ分析
攻撃後に脅威
を特定
継続的な監視
分析を継続
初期の要素 = 問題なし
AMP の主な機能
実際の要素 = 悪質 = ブロック
高度な脅威に対する高度な防御機能
従来のセキュリティ対策は、現代の高度な脅威を防止するには不十分です。
現代のネットワークは従来の境界を越えて拡大しており、新しい脅威が出現し、
防御の中に生
じたギャップを攻撃者が悪用して目的を達成します。
• ファイル レピュテーション：各ファイルのフィンガープリントを Cisco Web セキュリティ
ゲートウェイを通過する際に取得し、
AMP のクラウドベースのインテリジェンス ネットワー
クに送信してレピュテーションを判定します。これらの結果から、悪意のあるファイルを自
動的にブロックし、管理者が定義したポリシーを適用できます。Cisco Web セキュリティの
ユーザ インターフェイスは同じで、
ポリシー レポーティングのフレームワークもこれまで
のものと類似しています。
• ファイル サンドボックス：Cisco Web セキュリティ ゲートウェイを通過する未知のファイ
ルを分析できます。安全性が高いサンドボックス環境で、
AMP はファイルの動作について
正確な詳細情報を収集し、
このデータを人間とマシンによる詳細分析と組み合わせて、
フ
ァイルの脅威レベルを判定できます。この判定内容を AMP のクラウドベース インテリジ
ェンス ネットワークに取り込んで、
AMP クラウド データ セットを動的に更新および拡張
し、保護を強化します。
• ファイル レトロスペクション：境界防御を通過した後に脅威と判定された悪意のあるファ
イルの問題を解決します。これにより、
ほとんどの境界防御に内在する、
「一時点のみに
効果を発揮する」
という弱点に対処できます。どんなに高度な方法であっても、境界での
マルウェアの特定には失敗することがあります。ポリモーフィズム、難読化、
スリープ タイ
マー、その他の方法によって、
マルウェアが境界を越える際に検出されないように巧みに
細工されているからです。悪意のあるファイルは、
ネットワーク内部に侵入するのを待ち、
犯罪的な処理を行います。
© 2014 Cisco and/or its affiliates. All rights reserved. Cisco および Cisco ロゴは、
シスコまたはその関連会社の米国およびその他の国における 商標または登録商標です。シスコの商標の一覧は、
www.cisco.com/go/trademarks でご確認いただけます。掲載されている第三者の
商標はそれぞれの権利者の財産です。
「パートナー」または「partner」
という用語の使用はシスコと他社との間のパートナーシップ関係を意味するものではありません。(1110R)
At-A-Glance
そこで登場したのがファイル レトロスペクションです。ファイル レトロスペクションは、特
定の時点で動作するのではなく、
セキュリティ ゲートウェイを通過したファイルを連続的
に分析します。AMP のクラウド インテリジェンス ネットワークからリアルタイムの更新情
報を使用するので、変化する脅威レベルを常に把握できます。悪意のあるファイルが脅威
として識別されると、AMP は管理者に警告し、
ネットワーク上のどのユーザがいつ感染し
たのか確認できるようにします。その結果、攻撃が広まる前に、
すばやく特定して対処でき
ます。
メリット
• 高度な脅威のための高度なセキュリティ：高度な脅威および標的型攻撃に対して効果的な
保護を実施する際、AMP はマルウェア シグネチャを使用しません。新しいマルウェア サ
ンプルが登場するたびにシグネチャを作成していると、数週間から数ヵ月かかってしまい
ます。その代わり、
AMP はファイル レピュテーションとファイル サンドボックスを使用し
て、未知のシグネチャがある疑わしいファイルを特定し、
ブロックします。
レトロスペクティ
ブ ファイル分析には、過去の時点にさかのぼって感染が発生した時点を突き止め、攻撃の
範囲を把握できる独自の機能があります。
シスコが選ばれる理由
シスコでは、業界随一の幅広い高度な統合マルウェア対策ソリューションのポートフォリオを
用意しており、
お客様に継続的な可視性と制御を提供して、攻撃が仕掛けられる前、
その最
中、
および攻撃の後も、拡張ネットワーク上でマルウェアから防御します。AMP は Cisco E メ
ール セキュリティおよび Cisco Web セキュリティ、
FirePOWER® ネットワーク セキュリティ
アプライアンス、
モバイル システムおよび仮想システム、PC のエンドポイント保護を包括す
る統合機能として使用でき、柔軟な導入オプションと広範な対象範囲によって、増加し続ける
攻撃の脅威を食い止めます。
詳細情報
詳しくは http://www.cisco.com/jp/go/wsa をご覧ください。
シスコの販売代理店、
チャネル パートナー、
またはシステム エンジニアが、
シスコ製品の動
作評価をお手伝いします。
• 一連の攻撃に対する防御：攻撃が仕掛けられる前、その最中、
および攻撃の後も防御を確
保します。Cisco Security Intelligence Operations（SIO）
による Web レピュテーションと
ゼロデイ脅威のインテリジェンスは、脅威がネットワークに侵入する前に停止させ、
ファイ
ル レピュテーションとファイル サンドボックスは攻撃中の脅威を特定します。最後に、
レト
ロスペクティブ分析は、高度なマルウェアがその他の防御層をすり抜けてくる攻撃後の防
御を実現します。
• 可視性と制御：データが豊富で使いやすいレポート機能により、
ネットワークへの侵入を試
みたファイルのレピュテーションと動作を把握でき、
ネットワーク上の誰がいつ感染したか
など、要素内に変化があれば警告されます。ファイル レピュテーションやファイルの動作
などのデータに基づいて、
セキュリティ ゲートウェイが行うアクション
（許可、
ブロック、
検疫）
を定義するポリシーを設定できます。
• 優れた柔軟性と幅広い選択肢：AMP を既存のシスコ セキュリティ ゲートウェイと統合す
ると、優れた柔軟性と幅広い選択肢が生まれ、
AMP をお使いの環境に最適な方法で導
入する、
さらなるオプションが実現します。AMP を Cisco E メール セキュリティおよび
Cisco Web セキュリティ ソリューションの追加機能としてライセンスをアクティブ化する
ことで、
非常にシンプルでコスト効果が高い方法で高度なマルウェア対策を実現できます。
© 2014 Cisco and/or its affiliates. All rights reserved. Cisco および Cisco ロゴは、
シスコまたはその関連会社の米国およびその他の国における 商標または登録商標です。シスコの商標の一覧は、
www.cisco.com/go/trademarks でご確認いただけます。掲載されている第三者の
商標はそれぞれの権利者の財産です。
「パートナー」または「partner」
という用語の使用はシスコと他社との間のパートナーシップ関係を意味するものではありません。(1110R)
C45-730851-00 02/14