定義ファイルだけのセキュリティ対策はもう通用しないといわれる。この現状を打開するという対策手法をMcAfeeが披露した。鍵となるのは“怪しげな動き”だという。
McAfeeの年次セキュリティカンファレンス「McAfee FOCUS 2014」が米国ネバダ州のラスベガスで開催されている。2日目となる10月29日の基調講演では「Intel Security」グループの中核企業となったMcAfeeの最新のセキュリティ対策システムが発表された。サイバーの未知の脅威を封じ込めるという。
講演に登壇したエグゼクティブバイスプレジデント ジェネラルマネージャー兼最高技術責任者のマイケル・フェイ氏は、まず直近の10年でセキュリティ対策技術が大きく進化したものの、サイバー攻撃や脅威はそれを上回るペースだと指摘する。セキュリティ対策は企業にとって経営課題の1つになっているものの、犯罪者や攻撃者に狙われて被害を受ける企業や組織があまりに多すぎるという。
「もはや経営層はセキュリティの脅威に対してマヒを起こしている。セキュリティ対策は重い経営課題だ。それでも対策を改善していくしかない」(フェイ氏)
さらに2014年はOpenSSLやApache Struts、bashシェルなどサイバー空間を支えるオープンソースソフトウェアの脆弱性問題が世間を賑わせている。また、小売店舗などのPOSシステムに感染したマルウェアが情報を外部に流出させる事件も米国を中心に大きな社会問題になった。
こうした状況は言うまでもなくサイバー攻撃の手口が非常に巧妙で複雑になっているためであり、個々の対策では防ぎ切れないという。直近では「定義ファイルだけのウイルス対策は死んだ」というセンセーショナルな業界関係者の発言も話題になっただけに、この状況をどう変えるかがフェイ氏の取り組みだったという。
フェイ氏は、この1年間に「Intel Security」グループとして104件の新たなセキュリティ製品やサービス提供していると述べ、個々に機能するだけでなく、それぞれに連携すると説明した。初日の基調講演でも触れた「Threat Intelligence Exchange(TIE)」(オンプレミス型のシステム製品)を中心として、企業や組織の内外にある膨大な情報源を駆使し、高度な手口を使う未知なるセキュリティの脅威を封じこめるためのプラットフォームを形成するという。
デモンストレーションでは、ユーザーが正規のアプリケーション更新の通知にみえるWebサイトから更新作業をしようとするシナリオが紹介された。ユーザーが実行形式のファイルをクリックすると、まずTIEからユーザーにインストールの注意メッセージが表示される。それでも作業を進めると、TIEが「要注意ファイル」だと判断してインストールを中止させ、PCのマルウェア感染を未然に防ぐ。
こうした防御機能は以前から存在しているものの、製品ベンダーの定義ファイルやブラックリスト(悪質サイトなどの一覧情報)などを頼りに防御するケースが多い。TIEを使った防御ではMcAfeeのほかに、Googleの提供する「VirusTotal」に身元不明ファイルのハッシュ値を送信して、セキュリティ他社の定義ファイルに登録されているかどうかもチェックもする。
それでも悪質か正規かの判断が難しい場合は、サンドボックス環境での詳細な解析、社内の別の場所にあるPCやサーバなどに似た特徴がみられるかどうか探するなど、あらゆる情報源や内部システムでの不審な挙動の痕跡を拾い集める。そしてこれらを総合的に分析し、未知の脅威が実際の脅威であるかを特定できるようにするという。
フェイ氏は、これからのセキュリティ対策には膨大な情報源を相互に接続し、高度な分析を通じて脅威を遮断したり、侵入されても容易に発見や復旧ができる仕組みが重要だと強調する。同社は約200社のベンダーとAPI連携などの体制を構築しており、「同業他社にも参加を求め、これを(ベンダーロックインでは無い)オープンなセキュリティ基盤で推進したい。顧客からより信頼されるセキュリティ環境を実現する」と述べた。
Copyright © ITmedia, Inc. All Rights Reserved.