あらゆるAPT攻撃の脅威を見つけ出す――米FireEye創業者のアジズ氏：Maker's Voice

国家機密や企業の知的財産を狙うスパイ行為が深刻な問題になっている。このための対策に特化した技術を手掛ける米FireEye創業者兼CTOのアッシャー・アジズ氏に取り組みを聞いた。

[國谷武史，ITmedia]

FireEye創業者兼取締役副会長、最高技術責任者のアッシャー・アジズ氏

　政府機関の国家機密や企業の知的財産などの情報を盗むことを目的にしたサイバー攻撃の「APT（Advanced Persistent Threat：高度で持続的な脅威）」が国内でも深刻な問題になり始めた。このAPTに特化した対策技術を手掛ける米FireEyeの創業者で最高技術責任者などを務めるアッシャー・アジズ氏は、「あらゆる攻撃ベクター（攻撃の手口や経路）に対応し得る新たなアプローチが必要だ」と話す。

　APTではメールやWebサイト、ファイルなどあらゆる攻撃ベクターが利用され、攻撃者は標的としたコンピュータに未知のマルウェアを送り込む。未知のマルウェアは、特定の組織内だけといったごく限られた範囲でしか活動せず、世界中に監視網を持ったセキュリティベンダーでも発見が難しい。仮に未知のマルウェアを発見してシグネチャで検知できるようにしても、既に攻撃者がマルウェアを使って機密情報を盗み出した後というケースが少なくない。

　アジズ氏は、Sun Microsystems（現Oracle）や大学機関などでネットワークセキュリティ技術の研究や開発を経験。「脅威を特定してそれを検出するシグネチャベースの対策は限界に近づく」との見通しから、2004年に同社を設立。組織と外部ネットワークとの通信の内容を、実際のコンピュータ環境に近付けた仮想マシンで実行、解析することにより、シグネチャでは見つからない『未知のマルウェア』を検出する技術を開発した。

　同社ではこの技術を搭載したアプライアンスと、アプライアンスで解析した脅威情報をクラウド経由でユーザーやパートナー企業が共有する仕組みを提供。アプライアンスではWindowsなどの環境を再現する多数の仮想マシンを稼働させることができ、不審なプログラムやファイル、通信などの挙動を解析する。「アプライアンス内部でセキュリティベンダーのマルウェア解析の担当者が24時間体制で解析作業をしているようなイメージだ」（アジズ氏）という。

　なお、同社のソリューションは脅威の解析と情報の提供であり、マルウェアを自動的に駆除するといったものではない。解析結果を理解するには、セキュリティベンダー並みのサイバー脅威対策に関する経験やノウハウ、洞察力などが必要とされ、一般的な企業や官公庁であれば、「シーサート」と呼ばれるセキュリティインシデント対応が自前でできる組織などに限られる。

　同社ではトレーニングなどの仕組みを提供しているが、セキュリティサービスを展開する通信事業者などともパートナーシップを結び、こうしたパートナーがユーザー企業でのインシデント対応をサポートしているという。

　アジズ氏は、「今後はモバイルなどより多くの攻撃ベクターが使われるだろう。脅威を可能な限り網羅し、未知のマルウェアを逃さず、誤検知の少ない実用的な対策ソリューションを追求していく」と話す。