情報武装でサイバーの脅威を見逃さない――マカフィーがセキュリティ対策の新基盤：McAfee FOCUS Japan 2014 Report

企業や組織におけるサイバーセキュリティが大きな課題となる中、マカフィーはセキュリティ対策製品の密な連携と情報の共有・活用を通じて、サイバー攻撃などの脅威を瞬時に検知・遮断する仕組みを発表した。

[國谷武史，ITmedia]

　マカフィーは11月12日、法人顧客・パートナー向けの年次カンファレンス「McAfee FOCUS Japan 2014」を都内で開催した。4回目の今年は事前の来場登録者が前回の2倍となる約3300人に上るなど、サイバーセキュリティに対する関心が非常に高まっている状況だ。同社からはセキュリティ対策の新たな取り組みが紹介されている。

セキュリティ対策の“サイロ化”による問題

　企業や組織にとってサイバーセキュリティは、これまでも大きなテーマだったが、近年はますますその重要性が高まっている。サイバー攻撃などの脅威がもたらす情報漏えいやシステムダウンなどの問題が相次ぐようになり、昨今では内部関係者による犯罪も大きくクローズアップされるようになった。

ジャン・クロード・ブロイド氏

　基調講演に登壇したジャン・クロード・ブロイド社長は、「セキュリティ対策が抱える問題は『サイロ化』だ」と語った。多くの企業や組織ではセキュリティ対策が個々に導入・運用されてきた。各種のセキュリティ対策は、それ単体としては有効性が高いものの、相互に機能を連係させたり情報を共有したりすることは考慮されてこなかった。

　現在の脅威は、こうしたセキュリティ対策の隙間を突いて企業や組織に気づかれることなくIT環境へ侵入し、情報を盗み出すなどの不正行為を密かに実行する。企業や組織が気付いた時には、深刻な被害が発生しているケースも少なくない。

　ブロイド氏は、従来の対策を繰り返すままではセキュリティ投資を有効なものにできず、対策の効率化も望めないと指摘した。サイバー攻撃などの脅威が拡大する一方、企業や組織におけるセキュリティ投資の増強はなかなか難しく、さらに追い打ちをかけているのが、セキュリティ対策を担う人材の深刻な不足ぶりという問題である。

　こうした状況に対して同社は、セキュリティ製品の密な連携と様々なセキュリティ情報の共有・活用を通じて、企業や組織のIT環境全体のセキュリティレベルを高める仕組みに乗り出した。特にセキュリティ情報の共有化では、そのための標準的な技術の確立にも着手。パートナー企業だけでなく、競合するセキュリティベンダーにも参加を呼び掛ける。ユーザーが多様なセキュリティ情報を駆使できるようにすることで、ベンダー単独の情報では見つけるのが難しい脅威をいち早く検知し、瞬時に対策の手が打てるようにするのが狙いだという。

まずはエンドポイントから

　マカフィーは同日、新たなセキュリティ対策で中核的な役割を果たすという新製品「Threat Intelligence Exchange（TIE）」を発表した。TIEは、PCなどのエンドポイントセキュリティ製品やIPS（不正侵入防御システム）などのネットワークセキュリティ製品が捉えた不審な兆候を収集し、組織内の解析システムや同社のセキュリティ情報基盤、マルウェア情報データベースのVirusTotalなどに照会して瞬時に脅威であるかどうかを判断する。判断した情報を組織内の各種の対策製品へフィードバックし、各製品がいち早く脅威を遮断できるようにする。

サイモン・ハント氏

　TIEと各種製品の連携は今後順次行われていくといい、まずはエンドポイント製品が対応する。米McAfee エンドポイントセキュリティ担当バイスプレジデント 最高技術責任者のサイモン・ハント氏は、「デバイスの多様化やクラウドの普及などを背景に、データが様々な場所へ移動する時代だ。セキュリティ対策ではデバイス中心からユーザーやデータに主眼を置くことが求められ、その対策は自動的に機能すること、変化にも適応できることが求められる」と述べた。

　脅威への対応では今後、未知のマルウェアなどをいち早く検知するために、世界中のレピュテーション（評判）情報から不審な動き（振る舞い）が実際に脅威であるかを判断したり、システムやネットワークなどの部分的な痕跡の関係性から脅威を見つけ出したりする方法が重要になるという。

　最新版のエンドポイントセキュリティ製品には、TIEとの連携による効果を高めるべく脅威検知のための統合型エンジンの採用や分析機能の強化を図る一方、ユーザーがPCなどを利用している最中はマルウェアスキャンを一時停止して業務処理に負荷をかけないようにするといった改良も行っている。

マルウェア検知エンジンを進化させ、定義ファイルに依存しない手法を推進していく

ネットワーク機器が“知的”に

　TIEとの連携も視野に同社は、先行してネットワークセキュリティ分野の機能強化も進め、ここ1、2年は次世代ファイアウォールやIPS、サンドボックスを活用した解析システムなどの製品を次々に投入してきたという。

パット・カルフーン氏

　ネットワークセキュリティ担当シニアバイスプレジデント ゼネラルマネージャーのパット・カルフーン氏は、「製品に『インテリジェンス』を搭載した。従来のように特定された脅威へ後から対応するのではなく、脅威が疑われる段階から率先して対処できるようになる」と説明した。

　ネットワークセキュリティ製品では情報活用の仕組みが強化されることで、その適用領域も広がるという。例えば、米国では小売企業などのPOSシステムに感染したマルウェアが原因となって大量の機密情報が流出する事件が多発しているが、「POS端末とデータベース間の内部ネットワークにIPSを配備することで情報流出を阻止する」（同氏）とのこと。

　インターネットなどの外部ネットワークからの脅威を防ぐことがネットワークセキュリティ製品の主な役割だったが、内部ネットワークの侵入した脅威にも対処できるようになっていくという。

ネットワークセキュリティ製品の拡大によってデータセンターを包括的に保護するという

セキュリティ対策の“司令塔”が柱

　エンドポイントセキュリティとネットワークセキュリティの密な連携では、その“司令塔”に当たる管理システムが重要な役割を担っていくという。

ライアン・アルフィン氏

セキュリティマネジメント担当シニアバイスプレジデント ゼネラルマネージャーのライアン・アルフィン氏は、「セキュリティ対策に必要なものは適応性。エンドポイントやネットワークから提供される情報を生かして積極的な対策を打てるようにしないといけない」と説明する。

　そのためのアプローチとしては、マネジメント領域で各種の情報から脅威を確かな形で可視化させ、対策全体へ防御を効率的に適用する。さらに、侵害を受けたシステムを確実に復旧させ、IT環境全体の健全性を保てるようにする。

　マネジメント領域の製品ではオンプレミス、クラウドサービスなどで提供する統合管理ツール「ePolicy Orchestrator」のさらなる統合化や、複数のログ情報やイベント情報などの関係性を分析して脅威を可視化する「SIEM（セキュリティインシデント・イベント管理）」製品におけるより広範な情報連携の仕組みなどを提供していくという。

従来型の対策は個別限定的なアプローチ。今後は脅威の全体像を捉えて効果的に対応していくという