Deep Discovery Inspector：企業内ネットワークの不審な通信を早期検知

Deep Discovery Inspectorのポイント

• ネットワークのトラフィックを監視、独自エンジンで不審な通信を検知
• 1台で入口対策、出口対策、内部対策が可能。脅威が深刻化する前に対処
• 企業の実際のシステムを再現できる「カスタムサンドボックス」も利用可能

Deep Discovery Inspectorの製品解説

　トレンドマイクロの「Deep Discovery Inspector」は、複数の解析エンジンによって標的型攻撃やゼロデイ攻撃などの気づきにくい攻撃を早期に発見、対処することで被害の深刻化を防ぐ、ネットワーク脅威検出システム。スイッチのSPANポートに接続する物理アプライアンスと、ネットワークモニタリングに特化した仮想アプライアンスがある。

　物理アプライアンスは、スイッチのミラーポートにつなぐことでネットワークを監視。標的型攻撃に最適化されたファイル解析エンジン「ATSE」の攻撃コード特徴分析により、既知の不正プログラムだけでなく未知の脅威も検出する。文書ファイルに埋め込まれた不正コードも検出する。Office、PDF、Flashのほか、一太郎などのファイル形式にも対応する。

　ネットワークを流れる通信パケットから脆弱性を狙う不正プログラムの有無を判定する解析エンジン「NCIE」で内部攻撃にも対応。難読化された不正プログラムにも対応する。さらに、挙動分析でネットワークの不審な通信を検知するエンジン「NCCE」によって、国内の標的型攻撃に多用される「PsExec」、Active Directoryへの通信やDNSクエリなど正規通信を用いるために判別困難な攻撃の予兆も検知する。

　さらに、物理アプライアンスには、怪しいファイルを仮想環境上で実際に実行して、不審な動作がないかを確認するサンドボックスを搭載。また、導入した企業で実際に使用されているOSやソフトウェア環境も再現する「カスタムサンドボックス」も提供することで、ターゲットとなる企業にとって本当の脅威をあぶりだすことができる。

　未知の脅威を検知し対処するだけでなく、脅威情報をほかの同社製品で利用できるシグネチャを自動生成し、端末上での対処も可能にする。さらに、企業内にある他社製のファイアウォールや侵入防止システム（IPS）とも共有して効率的に攻撃に対応できる。

Deep Discovery Inspectorのシステム概要図（トレンドマイクロ提供）