セキュリティ担当者の負担を減らす対策、McAfeeのCTOに聞いてみた：McAfee FOCUS JAPAN 2014 Report

マカフィーは製品間での機能や情報の連携で脅威へ迅速に対処する新たな仕組みを発表した。PCなどのエンドポイント製品の最高技術責任者、サイモン・ハント氏は「セキュリティ担当者の負担を減らしたい」と語る。

[聞き手：國谷武史，ITmedia]

　マカフィーは、年次カンファレンスの「McAfee FOCUS JAPAN 2014」で、セキュリティ製品同士の密な機能連係と情報共有を通じて標的型サイバー攻撃などの高度な脅威に対抗する仕組みを発表した。PCなどエンドポイントのセキュリティ製品最高技術責任者（CTO）を務めるサイモン・ハント氏に、この仕組みを活用するという将来のセキュリティ対策像を聞いた。

――　企業や組織にとって、いま最も大きなセキュリティの脅威は何でしょうか？

エンドポイントセキュリティ最高技術責任者のサイモン・ハント氏

ハント　「APT（Advanced Persistent Threat＝高度で持続的な脅威）」です。APTではサイバー攻撃者が、ごく限られた範囲の企業や組織を狙い、複雑で高度な手法を幾つも組み合わせながら侵入を図り、時間をかけて機密情報を盗み出していきます。

　ウイルスによる攻撃など従来型の脅威は世界中で発生するため、APTに比べると見つけやすく対処もそれほど難しいものではないでしょう。しかし、APTは一部の企業や組織だけで発生し、一度きりという場合もあります。発見することが非常に難しく、その対応も後手に回りがちです。

――　ユーザー企業のセキュリティ担当者に取材すると、APTだけでなくマルウェアの駆除など、「多数のセキュリティインシデント対応に毎日追われてしんどい思いをしている」という声をよく聞きます。

ハント　確かにそうですね。潤沢な予算があれば、たくさんのソリューションを導入にして堅牢なセキュリティ環境を構築できるでしょうが、それができる企業や組織はごくわずかです。実際には限られた予算と人材の中で講じている対策の効果を最大にしないといけません。

　今後のセキュリティ技術ではAPTを含む脅威へ自動的に対処できることを目指します。そのために、各種のセキュリティ製品が連係しながら多種多様なセキュリティ情報を活用して迅速な対策を講じる仕組みを開発しました。

　この仕組みではエンドポイントやネットワーク上のセキュリティ機器や管理ツールが「Data Exchange Layer」という情報共有のためのレイヤを介してつながり、社内で見つかった怪しい兆候を、外部のセキュリティ情報も利用しながら分析を行って脅威を特定し、その対策を全てのセキュリティ機器へ瞬時に反映させます。まず、エンドポイントのセキュリティ製品が対応します。

――　PCなどにはどんなメリットがありますか？

ハント　まだ脅威だと特定されていない未知のマルウェアや攻撃への対応時間を短くできます。これによってウイルス定義ファイルへの依存度も下げることができ、PCなどへの負荷を小さくできるでしょう。最新版の製品では検出エンジンを大幅に刷新し、スキャン動作がユーザーの操作に影響を与えない「スローインパクトスキャン」機能やフォレンジック（解析調査）機能も搭載しています。

――　最近では効率的な働き方ができるようにと、オフィスの外でモバイル機器を利用するシーンも広がりつつあります。こうした場所でも新しい仕組みが機能するのでしょうか？

ハント　VPNを介して社内ネットワークへアクセスする環境であれば利用できます。VPNを使わないケースへは今後対応を図りたいと考えています。

――　新しい仕組みでは具体的にどのような情報や製品の連携ができるのでしょうか？

ハント　製品では現在82種類あるエンドポイントやネットワーク、管理ツールを順次つなげられるようにしているところです。情報連携では当社のグローバル脅威情報データベースやVirusTotal（Googleが提供するファイルやURLのセキュリティ検査サービス）の情報を利用しています。

　また、Intel Securityグループとなったことで、今後はIntelを中心にベンダー間でセキュリティ情報をやり取りするための標準APIを開発していきます。200社近いパートナー企業とAPIを介して情報連携できるようになるでしょう。このAPIはオープンなものなので、競合するセキュリティ各社にも採用を提案し、セキュリティ業界全体として脅威情報を共有・活用できるものにしたいと考えています。