サイバー攻撃対応は時間勝負、早くする仕組みを提供――インテル セキュリティ

組織に侵入したマルウェアの分析や影響の調査などにおける作業を支援し、脅威の検出から対応までの時間を短くすることで被害を抑止していけるという。

[國谷武史，ITmedia]

　インテル セキュリティグループ企業のマカフィーは1月28日、企業のエンドポイント向けにサイバー攻撃などの脅威の検出・対応を支援する製品「McAfee Active Response」を発表した。脅威の調査や分析作業を効率化して対応時間を短くし、被害抑止につなげるという。

　新製品は、サーバやクライアント機器のエージェントから収集する情報と、ネットワークセキュリティ製品などから収集する情報、また、同社が提供する脅威情報を利用し、マルウェアの解析や影響範囲の調査などの作業を支援する。脅威に関する情報の検索や監視対象のエンドポイントの状況把握ができる他、セキュリティ製品やエンドポイント、ネットワーク機器と連携させることで、脅威の検知から影響を受けた機器の隔離といった対応での作業の自動化と時間短縮を図る。

McAfee Active Responseの主な機能。脅威に関係する情報を検索で探したり、ルールを設定しておくことで検知やアラート、感染端末の隔離までを自動化できるという

標的型メールに添付されたファイルの名前で検索したデモ。該当するファイルを持つ端末や過去に持っていた端末が結果に出てくる。ハッシュ値などさまざまキーワードで検索できる

　ソリューション・マーケティング部シニアプロダクトマーケティングスペシャリストの中村譲氏によると、標的型攻撃などの脅威は手口が巧妙化しており、企業のIT環境も複雑化している状況でマルウェアなどの侵入を検知したり、検知後に被害状況などを把握したりすることが難しくなっている。その結果、被害の防止や抑止策を講じるまでに時間がかかり、情報漏えいなど被害の甚大化をもたらしている。

　米Intel Securityが10万台のクライアント環境で検証した結果、マルウェア定義ファイルを反映させるといった防御対応が完了するまでに要する時間は、個別にセキュリティ製品を運用している場合では丸1日かかるものの、Active Responseと各種製品を連動させて運用している場合では6分50秒になるとしている。

セキュリティ脅威は状況を把握しなければ対応できないが、現状では把握のための作業に膨大な手間と時間がかかっている

　アドバンスドスレットディフェンステクニカルディレクターのスコット・タシュラー氏は、「セキュリティインシデントの対応には時間と知識の2つの課題がある。Active Responseは可視化という特徴で、これらの課題を解決していく」と説明した。

　Active Responseの想定ユーザーは、当初はセキュリティ監視などの仕組みを運用中もしくは検討・整備中の企業や組織が中心。まずは手作業に依存している解析や調査を効率化して、防御や対策強化の作業に集中したいといったユーザーに適したソリューションという。製品の参考価格は監視対象100ノードの場合で83万7000円。導入から運用開始までは、製品の調整やカスタマイズなどに1カ月程度が必要になる。

脅威検知、情報分析と把握、防御実施を速やかにできれば被害抑止につながるため、すぐに実現できなくても着実に進めることが重要と同社

　国内企業では2015年の日本年金機構におけるサイバー攻撃と個人情報漏えい事故をきっかけに、セキュリティ事故に対応できる環境整備が喫緊の課題となった。対応では分析・調査が重要な作業になるものの、知識や経験を持つ技術者が不足しており、米国などに比べ環境整備が遅れている。中村氏は、セキュリティ技術者の育成や事故対応の環境整備も積極的に支援していきたいと話した。