第17回 CatoSASEクラウドの検証#10 アンチマルウェア

  • セキュリティ
  • Cato

最終更新⽇:

掲載⽇:

# はじめに

ICTインフラソリューション部の小玉です。前回は、CatoのTLSインスペクション機能について説明しました。今回はその関連としてCatoのアンチマルウェアについてご説明します。

Catoのアンチマルウェアでは既知のマルウェアはシグネチャベースのAnti-Malware(アンチマルウェア:AM)で、未知のマルウェアは機械学習ベースのNG Anti-Malware(次世代アンチマルウェア:NGAM)で検知を行います。NG Anti-Malwareは、ゼロデイ脆弱性を悪用したマルウェアや、パターンマッチングを回避するポリモーフィック型マルウェアをリアルタイムで検知します。検知にはSentinelOne社との提携により、数百万のマルウェアを用いた機械学習と人工知能(AI)を活用しています。

Anti-MalwareおよびNG Anti-Malwareでマルウェア対策を完全なものにするには、前回のコラムでもご紹介したTLSインスペクション機能を有効にする必要があります。TLSインスペクションについては "CatoSASEクラウドの検証#16" のコラムをご参照ください。

# アンチマルウェアの設定方法

アンチマルウェアの機能を有効にするには、「セキュリティ」メニューから「アンチマルウェア」画面へアクセスします。

security-vol0017_1.png

アンチマルウェア画面へのアクセス

アンチマルウェア画面に遷移したら、画面右上のスライダーを有効にし、「保存」をクリックします。

security-vol0017_2.png

アンチマルウェアの有効化

これで、アンチマルウェア機能が有効になりました。「次世代アンチマルウェア」のスライダーをOFFにすることで「アンチマルウェア」のみ有効にすることも可能です。

デフォルトのルールでは判定が "悪意のある" または "疑わしい" に分類された場合、ファイルはブロックされます。必要に応じて、管理者はポリシールールを追加することでニーズに応じたセキュリティを簡易的に適用することができます。

# NGAMの動作確認

前回のTLSインスペクションの動作確認と同様に、クライアント端末としてWindows PCからCato VPN Clientを使用して動作確認を行います。動作確認方法としてeicarテストファイルをダウンロードしてみます。eicarテストファイルはアンチウイルス等のセキュリティシステムの動作をテストするために使用される、安全なテストファイルです。実際のウイルスやマルウェアの挙動を模倣しているので、アンチウイルスはeicarファイルを検出し、通常のウイルスと同様に処理します。

Cato Cloudを経由しない場合はマルウェアを検出できずに以下のように何事もなくダウンロードができてしまいます。

security-vol0017_3.png

CatoCloudを経由しない場合

しかし、Cato Cloudを経由してアンチマルウェアが有効な場合、マルウェアを検知し、以下のようにアンチマルウェア機能によってブロックされました。

security-vol0017_4.png

アンチマルウェア有効時

# アンチマルウェアのバイパス設定

アンチマルウェアの許可リストを使用することで任意のトラフィックに対して、アンチマルウェアの検査をバイパスすることが可能です。許可リストのルールは保護ポリシールールよりも先に適用されるため、アンチマルウェアの検査を確実にバイパスします。

設定はアンチマルウェア画面の「許可リスト」タブから設定することができます。トラフィックの送信元やアプリケーション、カテゴリ、ドメインなどのトラフィックタイプ基づいて一致するトラフィックのみをバイパスします。

security-vol0017_5.png

アンチマルウェアバイパス設定画面

# アンチマルウェアでサポートされるファイル

Catoのアンチマルウェアは、多くのファイル形式に対応し、ネスト化されたアーカイブ内を多層的にスキャンできます。パスワード付きZipファイル等の暗号やパスワードで保護されたファイルはスキャンできませんが、ポリシールールにて「暗号化された」を選択したポリシーを作成することでブロックすることができます。

security-vol0017_6.png

新規ポリシー作成画面

サポートされるファイル形式は以下です。
※Anti-Malware および NG Anti-Malware によってスキャンされるファイルタイプには、ファイルサイズ制限があります

■Anti-Malware
サポートされる最大ファイルサイズは 20 MB です。

APK/Archives (ZIP, 7ZIP, TGZ, RAR, ARJ, ARC, ZOO)/BAT/BIN/CAB/Calendar (ICS, IFB, iCalendar)/CMD/CRX/CSV/DEB/DLL/DMG/EXE/FLASH (SWF)/Fonts (EOT, WOFF, WOFF2)/HTA/JAVA (JAR, CLASS)/MACH-O/Microsoft Office (DOC, DOCx, PPT, PPTx, XLS, XLSx)/MS-Access (ACCDB)/MSI/OFT/PDF/PKG/PS1/PY/RTF/SH/SVG/Torrent/VB-Scripts

■NG Anti-Malware
サポートされる最大ファイルサイズは 10 MB です。

EXE, MacOS, BIN, MSI, ZIP, TAR, RAR/OLE (.doc, .ppt, .xls)/OpenXML (.docx, .pptx, .xlsx)/Win32 portable executable

# おわりに

今回はCatoのアンチマルウェアについてご説明しました。Catoのアンチマルウェア機能はクラウドで提供されるため、常に最新の脅威情報に基づいて更新されます。オンプレミスのハードウェアと異なり、アップデートやメンテナンスが自動で行われ、最新のマルウェア対策を維持することができます。また、Catoでは全てのネットワークトラフィックがCato Cloudを経由するため、通信の可視化によって脅威の検知と対応を迅速に行うことができます。クラウドネイティブなアーキテクチャによって提供される高機能なアンチマルウェアを活用することで、現代の複雑なサイバー脅威から企業を効果的に保護します。