サイバー攻撃へリアルタイムに対処する新対策、McAfeeが示す次のセキュリティ：McAfee FOCUS 2013 Report（2/2 ページ）

[國谷武史，ITmedia]

高度な情報分析と対策連携が鍵

　デシーザー氏に続いて登壇したエグゼクティブバイスプレジデント兼最高技術責任者（CTO）のマイケル・フェイ氏は、Security Connected戦略での技術面での取り組みを紹介した。

　フェイ氏によれば、Security Connectedに基づくソリューションは、Intelとの協業によるハードウェア層でのセキュリティ強化を基礎に、エンドポイントやネットワークにおけるコンテクストの集約、一元的なセキュリティ管理、防衛策の提供、脅威分析、情報活用から構成される。

CTOのマイケル・フェイ氏。今年からエグゼクティブバイスプレジデントや製品担当ゼネラルマネージャーも務め、技術および製品戦略全体のキーマンとなった

　製品レベルでは同社が買収した技術も含めてePOと連携するようになっているほか、200以上のパートナー製品ともAPIを介してePOと連携できるようになっている。「各種の対策ポイントで検知した情報が全て1つにつながるアーキテクチャであり、情報を集約する基盤の拡充やそれらを一元的に活用する仕組みを開発しつつ、同時にIntelとはチップセットレベルでセキュリティを組み込む『Secure by Design』を推進している」（フェイ氏）という。

　デシーザー氏が発表した次世代ファイアウォールやMcAfee Advanced Threat Defenseアプライアンスは、これまで同社に欠けていたポートフォリオを強化するという位置づけになる。

　次世代ファイアウォールでは既に競合他社が製品を市場に投入して久しいが、「当社ではディープパケット解析（DPI）によるアプリケーションの識別や制御だけでなく、IPSなど各種のネットワークセキュリティ技術も活用して、DPIでは検知の難しい脅威にも対処した」（同氏）という。元々は同社が今年7月に買収したフィンランドのセキュリティ企業Stonesoftの技術だが、ePOと連携するための機能強化を進めている。

　McAfee Advanced Threat Defenseアプライアンスも、サンドボックス解析による脅威検知としては既に競合製品が存在するものの、フェイ氏はサンドボックスを含めた多角的な解析処理とGTIの情報を生かした脅威検知に強みがあると説明した。両製品は日本も含め2013年第4四半期中の発売を予定する。

　さらにMcAfee Real Time Advanced for ePOは、こうした新製品や既存の対策ソリューション、パートナー製品との連携をベースに、脅威の可視化からブロックや修復といったアクションまでの全てをシングルコンソールで行えることを目指しているという。

　「SIEMの次の担うものになる。これまでは脅威を効率的に可視化できることが焦点になっていたものの、今後はリアルタイムな相関分析や自然言語検索になる脅威の可視化に加え、必要なアクションを実行するまでのプロセスも自動化する。ユーザーが手間をかけることなく適切に自社の環境を保護していけるように、この戦略を進めたい」とフェイ氏は述べた。

最近のサイバー攻撃手法の一例。画像ファイルにマルウェアの一部を組み込み（写真右が埋め込み後。埋め込み前の写真左とは色合いが若干異なる程度しか分からない）、HTML5のファイルと一緒にメールなどで送りつける。受信者側でHTML5のファイルを開くと、JavaScriptによって画像ファイルに埋め込まれたマルウェアが実行ファイルに変化してコンピュータに感染する。こうした手口は従来型の検知手法では発見が難しいという

　なお余談になるが、今回のカンファレンスの直前にMcAfee創業者のジョン・マカフィー氏が発表した“NSAブロック端末”の「D-CENTRAL」は米国でも大きな話題になっている。カンファレンスの基調講演後に行われたメディアとの質疑応答では、フェイ氏にD-CENTRALに対する印象を問う記者もいたが、現在マカフィー氏とMcAfeeとの間には一切関係が無いため、「アカデミックな見地としてはユニークなものなのだろう」と述べるにとどまった。