防衛発のセキュリティ企業が注目する攻撃者の「滞留時間」：Maker's Voice

防衛システム大手Raytheonのサイバーセキュリティ部門を母体とするForcepointが日本で事業展開を始めた。「APT」と呼ばれる高度サイバー攻撃などの脅威に対抗するという。

[國谷武史，ITmedia]

　防衛システムの巨大メーカー米Raytheonは2016年1月、同社のサイバーセキュリティ部門と2015年買収のWebsenseを統合したセキュリティ新会社「Forcepoint」を設立した。日本法人もいち早く立ち上げ、国内での事業展開を始める。新会社の施策についてアジア太平洋・日本地域担当バイスプレジデントのマウリツィオ・ガラベロ氏が説明した。

　Forcepointの設立は、米国の国防システムなどを手掛けるRaytheonのサイバーセキュリティ技術を民生分野向けの事業として展開するためだという。Forcepoint設立に合わせてRaytheonは、Intel Securityで次世代ファイアウォールを手掛けていたフィンランドのStonesoftも買収。Forcepointは新興ながら、ネットワークからエンドポイントまでのセキュリティ対策と政府系や大企業など2万以上の顧客を抱える総合セキュリティベンダーとして発足した。

Forcepoint アジア太平洋・日本地域担当バイスプレジデントのマウリツィオ・ガラベロ氏

　ガラベロ氏によれば、新会社では防御、検知、（対応などの）決定、（脅威に置かれた状況の）打破の4つのフェーズによるライフサイクルで脅威に対処するという「4D SECURITY」をコンセプトに掲げる。同氏は特に、脅威の侵入から打破までの「ドエルタイム（滞留時間）」の重要性を強調する。

　「ドエルタイムとは、マルウェア感染などが始まってから脅威を取り除くまで時間を指す。APT（高度サイバー攻撃）の場合、例えば2014年のSony Picturesに対する攻撃では発覚から対応を終えるまで9カ月近くを要したように、ドエルタイムは平均280日に上る」（ガラベロ氏）

　脅威の巧妙化から最近では従来型のウイルス対策ソフトやファイアウォールなどの対策では防御が難しいとされ、脅威を早く検知し、対処する必要性が叫ばれている。検知ではログ分析などのソリューションが数多く提供されているが、ガラベロ氏は多数のアラートが発生することでセキュリティ担当者の対応が煩雑化しているとの問題点も指摘している。

　そこで同氏は、Forcepointの競合優位性にRaytheonが培ってきた脅威分析のノウハウと対応の判断に必要な情報の提供能力を挙げる。Forcepointでは製品として「THE SUMMIT」という統合分析プラットフォームをリリース。旧WebsenseやRaytheonのユーザーから提供される脅威関連情報とユーザーの組織内の情報を相関分析して危険性の高いイベントの情報を優先的に管理者へ通知し、ドリルダウンで追跡調査できる機能を搭載したという。

　「我々の調査では日本に対するサイバー攻撃の80％が.comドメインから仕掛けられており、日本も脅威に晒されている。特に、メールやWebブラウザのプラグインを悪用してマルウェア感染サイトなどに誘導されてしまうケースが目立ち、標的型サイバー攻撃の流れ（サイバーキルチェーンと呼ばれる）を早く検知して対処することが重要だ」（ガラベロ氏）

米国立標準技術研究所（NIST）が定義した標的型サイバー攻撃の流れを段階的に示す「サイバーキルチェーン」。その対応では検知や多層的な防御、侵害されたシステムなどを復旧する仕組みが必要とされている

　Forcepointでは今後、ユーザーの既存のセキュリティシステムと連携するためのAPI群の拡充や自社および他社製品の防御機能との連携強化を推進していく。ガラベロ氏は、「政府機関や企業、マネージドセキュリティサービス企業などに当社の技術を提供することで、日本の安全に貢献したい」と述べている。