“ツールが人間をサポートする”これからのセキュリティ、McAfeeがラスベガスで実演（2/2 ページ）

[宮田健，ITmedia]

SOCの生産性を高める新製品「McAfee Investigator」

　“ツールが人をサポートするセキュリティ”を実現するためにMcAfeeが発表したのが、「McAfee Investigator」だ。

　これは企業内のSOC（Security Operation Center）におけるアナリストの生産性を高めるツールで、各種機器やエンドポイント内のエージェントから集まる情報を収集して図示するとともに、脅威の詳細な内容を確認するための指針や調査ポイントを提示するものだ。

　展示ブースではこの機能をより理解するためのデモとして、SOCが判断すべき脅威の内容をクイズ形式で展示していた。ごく限られた断片的なアラート情報を基に、次に何を調べるかを選択、提示されたアラート情報が、本物の脅威か、それとも誤検知かを判断する。このようなアラートが発生した場合、それが本物であれば、判断のための聞き取りや調査に数分かけただけでも、命取りになるケースがあることが体験できる。

デモで展示していたSOCアナリストの動きを体験するクイズ。アラートの内容から、エスカレーションすべきか誤検知かを選択する。アラートだけでは判断できない場合「対象のユーザーに詳細を聞く」「アクセスしようとしているIPアドレスの詳細を調べる」などの追加調査も可能だが、制限時間もあるので難しい決断になる

4問対応した結果、2件も判断を間違ったの図。関連するセッションも提案されるという良くできたデモだった

　こうした判断にはITセキュリティの専門知識が必要だが、McAfee Investigatorがその補助をしてくれる。デモでは感染能力が高かった「WannaCry」を例に、感染した端末にひも付くIPアドレス、URL、デバイス、サービスなどのつながりが図式化され、分析のための指針がアナリストに提示されていた。

　McAfee Investigatorが提示する指針をクリックすると、その分析のために行うべきチェックリストが表示されるため、脅威分析がより迅速に行える。

McAfee Investigatorの画面。中央上のハイライトがWannaCryに感染した端末で、その周りを囲うように存在するIPアドレス、デバイスなどの情報が一覧できる。左側のメニューには調査のためのガイドが表示され、クリックしていくと次にチェックすべきポイントなどが提示され、SOCアナリストの調査補助ツールとして活用できる

　基調講演に登壇したCTOのスティーブ・グロブマン氏は「実は脅威を見つけることは簡単だ。空港のセキュリティも何か怪しいものがあれば、全てはじくというルールで対処している。より正確に言うならば、『脅威を見つけるのは簡単。ただし、誤検知を把握することはとても難しい』」と強調した。

　McAfee Investigatorでは機械学習を含む技術を使い、McAfee以外のソリューションとも協調し、他の手法が持つテクノロジーも活用して企業を守ると述べた。

McAfee CTO スティーブ・グロブマン氏

McAfee Enterprise Security Managerの最新版を発表、シスコと協業しDXLとpxGridを相互運用可能に

McAfee セキュリティ製品担当バイス プレジデント 兼 ゼネラル マネージャー ラジャ・パテル氏

　基調講演では、セキュリティ製品担当バイス プレジデント 兼 ゼネラル マネージャーであるラジャ・パテル氏も登壇した。同氏はルイス・キャロルの小説内に登場する「Red Queen's Race」（赤の女王仮説）を引用し、「サイバー攻撃から生き残るためには、われわれも進化し続けなければならない」と述べた。ITセキュリティにおいても、常に新たな手法での防御が必要だということだ。

　パテル氏は最新バージョンとなる「McAfee Enterprise Security Manager 11」を発表するとともに、McAfeeのData Exchange Layer（DXL）とCisco Platform Exchange Grid（pxGrid）のポリシーを相互に反映するといった、シスコとの協業を新たに発表した。

　MPOWER：Cybersecurity Summitは2017年10月19日まで開催する。19日（米国時間）にはセキュリティブログ「Krebs on Security」を運営する、ブライアン・クレブス氏の登壇も予定されている。また、2017年11月9日には、日本においても「MPOWER : Tokyo」を開催する予定だ。

（取材協力：マカフィー）