“ツールが人をサポートするセキュリティ”を実現するためにMcAfeeが発表したのが、「McAfee Investigator」だ。
これは企業内のSOC(Security Operation Center)におけるアナリストの生産性を高めるツールで、各種機器やエンドポイント内のエージェントから集まる情報を収集して図示するとともに、脅威の詳細な内容を確認するための指針や調査ポイントを提示するものだ。
展示ブースではこの機能をより理解するためのデモとして、SOCが判断すべき脅威の内容をクイズ形式で展示していた。ごく限られた断片的なアラート情報を基に、次に何を調べるかを選択、提示されたアラート情報が、本物の脅威か、それとも誤検知かを判断する。このようなアラートが発生した場合、それが本物であれば、判断のための聞き取りや調査に数分かけただけでも、命取りになるケースがあることが体験できる。
こうした判断にはITセキュリティの専門知識が必要だが、McAfee Investigatorがその補助をしてくれる。デモでは感染能力が高かった「WannaCry」を例に、感染した端末にひも付くIPアドレス、URL、デバイス、サービスなどのつながりが図式化され、分析のための指針がアナリストに提示されていた。
McAfee Investigatorが提示する指針をクリックすると、その分析のために行うべきチェックリストが表示されるため、脅威分析がより迅速に行える。
基調講演に登壇したCTOのスティーブ・グロブマン氏は「実は脅威を見つけることは簡単だ。空港のセキュリティも何か怪しいものがあれば、全てはじくというルールで対処している。より正確に言うならば、『脅威を見つけるのは簡単。ただし、誤検知を把握することはとても難しい』」と強調した。
McAfee Investigatorでは機械学習を含む技術を使い、McAfee以外のソリューションとも協調し、他の手法が持つテクノロジーも活用して企業を守ると述べた。
基調講演では、セキュリティ製品担当バイス プレジデント 兼 ゼネラル マネージャーであるラジャ・パテル氏も登壇した。同氏はルイス・キャロルの小説内に登場する「Red Queen's Race」(赤の女王仮説)を引用し、「サイバー攻撃から生き残るためには、われわれも進化し続けなければならない」と述べた。ITセキュリティにおいても、常に新たな手法での防御が必要だということだ。
パテル氏は最新バージョンとなる「McAfee Enterprise Security Manager 11」を発表するとともに、McAfeeのData Exchange Layer(DXL)とCisco Platform Exchange Grid(pxGrid)のポリシーを相互に反映するといった、シスコとの協業を新たに発表した。
MPOWER:Cybersecurity Summitは2017年10月19日まで開催する。19日(米国時間)にはセキュリティブログ「Krebs on Security」を運営する、ブライアン・クレブス氏の登壇も予定されている。また、2017年11月9日には、日本においても「MPOWER : Tokyo」を開催する予定だ。
Copyright © ITmedia, Inc. All Rights Reserved.