セキュリティベンダーと同様の脅威分析基盤をユーザー企業に提供――McAfeeMcAfee FOCUS 2012 Report

McAfeeの年次カンファレンス2日目の基調講演で、同社CTOのマイク・フェイ氏が「Local Threat Intelligence」という新たなセキュリティの脅威分析基盤を提供する考えを明らかにした。

» 2012年10月25日 11時12分 公開
[國谷武史,ITmedia]

 米McAfeeによる年次カンファレンス「McAfee FOCUS 2012」が米国ラスベガスで開催されている。2日目となる現地時間10月24日の基調講演には最高技術責任者(CTO)のマイク・フェイ氏が登場。同社が世界規模で展開するセキュリティの脅威分析基盤「Global Threat Intelligence(GTI)」と同様の仕組みをユーザー企業に提供する方針を発表した。

病気のため欠席したトッド・ゲブハート共同社長に代わって基調講演に登壇するマイク・フェイCTO

 フェイ氏が発表したのは、「Local Threat Intelligence(LTI)」というユーザー企業のIT環境でセキュリティ上の脅威を分析し、管理者などに情報を提供するソリューション。McAfeeが運用するGTIでは世界中に配置した監視用マシンやユーザーから提供されたマルウェアや不正サイト、スパムといった脅威に関する情報を一元的に収集し、相関関係などを分析。その結果をユーザーに定義ファイルやレピュテーション(評判)データなどの形で提供する。LTIはGTIと連携することで、ユーザー企業へより的確な脅威情報の提供が可能になるという。

 LTIでは既に社内導入しているファイアウォールやIPS、Webゲートウェイ、メールセキュリティ、エンドポイントセキュリティといったサードパーティ製を含むセキュリティ対策製品から情報を収集。自社内で保管しているセキュリティ関連情報やGTIの情報などと相関関係を分析して、脅威の内容やリスクレベルに関するレポートを、統合管理ツールの「ePolicy Orchestrator(ePO)」を通じてリアルタイムに提供する。

 従来は、対策ポイントや機器ごとに脅威が疑われる兆候を検知すると、管理ツールにアラートを送る仕組みが一般的だった。だが、企業に対するサイバー攻撃が急増している昨今、脅威かどうか疑わしい大量のアラートをIT管理者が独自に分析することは大きな負担となっていた。

 フェイ氏によれば、GTIは世界中のセキュリティ脅威を探知する「巨大なセンサー」のようなものであり、実際に脅威であるか疑わしいものも含めて情報をデータベース化している。これに、LTIでより詳しく分析した結果を加味することで、IT管理者が判断しやすい的確な情報を提供していくのが狙いだという。

Local Threat Intelligenceのイメージ

 基調講演のデモでは、ユーザーがアカウントを作成してからログインし、必要なコンテンツを入手するまでの間に状況をLTIで追跡し、GTIなどの情報も加味して各プロセスでどのくらいリスクが高いのかをグラフィカルレポートで通知する様子を再現。

 また、ePOの検索で「Windows Updateが行われていないPCはどれか」「社内で使われているFlash Playerの全バージョンと、バージョンごとのインストール台数を知りたい」といったテキストを入力すると、数秒から数分で検索結果を表示する機能も披露された。検索結果から「このマシンにパッチをあてる」といったアクションも取ったり、ドリルダウンでより詳細な状況を確認したりできるようにもなっている。

McAfeeとアライアンスを組むパートナーベンダー。LTIでは各社製品とも連携していくという

バラバラのセキュリティ対策をつなぐ

 フェイ氏は、LTIの開発などについて同社が提唱している「Security Connected」というフレームワークに基づくと説明する。Security Connectedは、ばらばらに運用されているセキュリティ対策を連携、統合管理しながら、リアルタイムにリスクの可視化や対策情報の提供を目指すものだと話した。

 「例えば、わたしの6歳になる娘はiPadや携帯電話を使い、ビデオ会議やメールのアカウントも複数持っている。彼女の将来の夢は女優や王女様になりたいそうだ。既にITを使いこなす今のこどもたちの未来が安心できるものになるよう、われわれは常にセキュリティの革新に挑戦しなければならない」(フェイ氏)

 さらに、初日の基調講演で共同社長のマイク・デシーザー氏が挙げたセキュリティを取り巻く4つのトレンド――「ソーシャル」「モバイルやアプリ」「クラウド」「ビッグデータ」に触れ、「例えば、ソーシャルメディアで共有している写真をダウンロードできると知らせてきたリンクが本当に知人のものか、クラウドの預けるデータの安全を本当に確保できるか。従来の対策は既に限界に来ている。最新の対策を活用してほしい」と来場者に呼びかけた。

サイバー攻撃者は常にトライ&エラーを繰り返しながら標的を定める。これには統合型の対策が必要と訴える同社

 同社が今回発表したLTIのような、社内のセキュリティシステム全体の情報を分析してリスクレベルやコンプライアンス状況などをレポートする仕組みを、一部のベンダーは「セキュリティインテリジェンス」と呼ぶ。この半年の間に国内でも大手ITベンダーが参入するなど、新たなソリューションとして登場したばかりだ。

 しかし企業のセキュリティ対策に詳しい専門家によれば、この種のソリューションを適切に運用するために、管理者にはセキュリティリスクを正確に判断できるスキルが求められ、導入後のチューニング作業や経営者の簡単に理解できるレポート形式の開発などに高度なノウハウと時間を要とするといった点がある。ベンダーやシステムインテグレーターにもユーザー企業を万全にサポートできる体制が不可欠と指摘する。

 この日の基調講演は当初、マイク・デシーザー氏と共同社長を務めるトッド・ゲブハート氏が登壇する予定だったが、ゲブハート氏は肺炎のために欠席をよぎなくされ、フェイ氏が急遽登壇することになった。だがゲストスピーカーはジョージ・W・ブッシュ前米大統領ということもあって、会場は前日以上に大勢の来場者が詰め掛ける盛況ぶり。なお、ブッシュ氏の講演はメディア非公開で行われている。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ