カーナビがランサムウェアに感染したら…… 攻撃者視点のこれからの防御術：FOCUS 2016 Report（2/2 ページ）

[國谷武史，ITmedia]

人間と機械が協力して対策する

　これまでのセキュリティ対策は、新たな攻撃手法に新たな防御技術を取り入れて対抗し、攻撃側が別の手法を取り入れれば防御側も別の方法で対抗するという、“いたちごっご”の状態が続いてきた。

　グロブマン氏は、攻撃側より先に防御策を打てることが重要だとし、例えばIntelでは、AIのマシンラーニングを利用して膨大な数のファイルを高い精度で有害と無害に分類できるアルゴリズムの開発を進めているという。

　基調講演では2017年中のリリースを目指して開発中の「Threat Workspace」という機能が紹介された。この機能ではセキュリティ製品が検知したイベントやさまざまな脅威情報をもとにAIが脅威の可能性や内容、リスクを算出してセキュリティ管理者に通知する。セキュリティ管理者は、AIの導き出した情報を活用して防御策をいち早く講じられる。

高度な標的型攻撃が疑われるイベントを解析したAIが「可能性」をパーセントでセキュリティアナリストに通知し、その根拠も示してくれる

　グロブマン氏によれば、このようなセキュリティ対策は人間とマシンが協力し合う新しいアプローチになるという。同社では各種のセキュリティ製品を統合的に運用するプラットフォーム戦略をとっているといい、統合化されているセキュリティシステムなら新しい技術を容易に実装して運用できるメリットがあると強調した。

セキュリティ対策は人間とマシンが手を取り合っていく時代に

異種混在の対策を連携させる

　しかし、多くの企業ではベンダーの異なるセキュリティ製品によって対策システムが構築され、同社が提唱するような統合型のセキュリティシステムの実現は容易に難しい。グロブマン氏は、新たに公開したOpenDXLがセキュリティ機器の連携による防御プラットフォームを実現すると説明する。

　OpenDXLは、30行あまりのコードを使って脅威に関する詳しい情報（攻撃発信元や標的、手法など）をセキュリティ機器同士で共有するオープンプロトコルになるという。従来は同社とアライアンス関係にあるベンダー間でのみ仕様が公開されていたが、同社はこれをオープンソース化してだれでも利用できるようにした。

OpenDXLで配信される脅威情報のイメージ

　基調講演ではOpenDXLを使ったベンダー連携による防御対応がデモで披露された。このデモはCheck Pointのファイアウォールが組織外部への不審な通信を検知したというシナリオで、検知したイベントがOpenDXL経由でIntel Securityの分析ツールに取り込まれる。また、Rapid7の脆弱性管理ツールからも関連情報がOpenDXL経由で分析ツールに取り込まれて解析が行われる。その結果をOpenDXL経由でHPE Arubaの無線LANシステムに反映し、組織外部への不正通信を自動的に遮断した。

　グロブマン氏は、「このような連携基盤を通じて効率的で迅速なインシデント対応が可能になり、サイバー攻撃の脅威にわれわれが勝利できるだろう」と語った。

OpenDXL経由でベンダーの異なる機器が協調動作する様子

（取材協力：マカフィー）