ePO Real Timeでセキュリティ反射神経アップ：P2P技術を活用しリアルタイムに情報把握

「Secutiry Connected」という取り組みの中で重要な役割を果たす、マカフィーの統合管理ソリューション、「ePolicy Orchestrator（ePO）」。同社はこの機能をさらに拡張し、「今何が起きているのか、どうなっているのか」を把握できるツールを提供する計画だ。

[PR／＠IT]

統合セキュリティ構想をさらに強化

　問題ごとに別々のセキュリティ製品を用いてばらばらに対策を行うのではなく、1つのフレームワークの下に統合、連携させ、全体としてリスク軽減に取り組もう――マカフィーではそんな考え方を「Secutiry Connected」というコンセプトとして提唱し、幅広いセキュリティ製品を提供している。

　このSecutiry Connectedという取り組みの中で重要な役割を果たすのが、統合管理ソリューションの「ePolicy Orchestrator（ePO）」だ。ePOのコンソールを通じて、自社を取り巻く脅威の状況とセキュリティ対策の現状とを把握し、その時々に応じた適切な判断を下すために必要な情報を得ることができる。

　そしてマカフィーは現在、ePOのさらなる拡張に取り組み、セキュリティインシデントに迅速に対応するための情報を提供するオプション製品、「ePolicy Orchestrator（ePO） Real Time」の開発を進めている。

インシデントの初動体制が明暗を分ける

　かつて爆発的に感染を広げた「SQL Slammer」のように、あっという間に感染を広げるタイプのワームはもちろんのこと、セキュリティ対策では何かが起こったときの「初動体制」が明暗を分けることが多い。

米マカフィー テクニカル・ソリューションズ ディレクター ブルース・スネル氏

　もちろん、基本的な対策を確実に施し、脅威に備えておくことは大前提だし、現在どんな攻撃が発生しているのか、こまめな情報収集と情勢分析も必要だ。だがそれだけ策を講じていてもなお、どこかが破られ、不正侵入を受ける可能性をゼロにすることはできない。そうしたときに被害を最小限に抑えるため、即座に情勢をつかんで対応に転じることができる体制作りが必要とされている。

　米マカフィー テクニカルソリューションズ ディレクター、ブルース・スネル氏は、一段高いセキュリティレベルを実現するには、「セキュリティインシデントに即座に対応できる体制を整えることが重要になる」と指摘する。

文字通り「リアルタイム」の状況を可視化

　ePO Real Timeはこうした背景から生まれたツールだ。その機能を一言でまとめると、「ウイルスのアウトブレーク（大感染）など、セキュリティ上の緊急事態が発生した時に迅速に状況を把握し、レスポンスにつなげるための製品」（スネル氏）。文字通り、状況をリアルタイムに可視化するという。

　ePO Real Timeでは、クライアントソフトを各エンドポイントに導入し、現状――例えばOSやパッチの適用状況に加え、Adobe Flashをはじめとするアプリケーションのバージョン、あるいはエンドポイントセキュリティソフトやホスト型IPS（HIPS）の導入状況――といった情報を把握できるようにする。これらインベントリ情報に加え、「現在実際に稼働しているアプリケーションの一覧」など、活きた情報まで収集できる。

　端末の現状に関する情報とセキュリティ情報を掛け合わせてリスクを判断することも可能だ。ePO Real Timeでは、自然言語による検索が行える。「Windows Updateを停止し、行っていない端末」「HIPSを入れていない端末」「シグネチャのバージョンが古い端末」といったクエリを投げてセキュリティ対策の概要を把握できる。

　こうして抽出された「リスクの高い端末」の状態は、ドリルダウンによってより詳細に把握可能だ。こうした情報に基づいて、優先順位を付けながら調査、対策を実行できる。特定の端末に対して、パッチの適用やアップデートといったアクションを取るよう指令することも可能だ。

リアルタイムに把握できることが特徴

　マカフィーでは、各種セキュリティ製品からログ情報を収集し、解析を通じて脅威の状況を可視化するSIEM（Security Information and Event Management）製品、「McAfee Enterprise Security Manager」も提供している。

　McAfee Enterprise Security Managerがこれまでに起こったことを元に、過去の全体的な傾向を把握するものであるのに対し、ePO Real Timeは、「いまシステムで何が起こっているか」をリアルタイムにつかむ点に特徴がある。つまり、ログの収集や分析といったプロセスに何時間もかけることなく、現状を把握でき、極端に言えば「直近15秒のデータを集めてどうなっているかを理解できる」（スネル氏）という。

　またマカフィーは、グローバルな脅威情報解析基盤、「Global Threat Intelligence（GTI）」を展開している。世界中に展開されている同社製品やセンサーから、ファイル、メール、Webサイト、IPアドレスのレピュテーションを収集するとともに、同社研究部門による監視、解析を通じて、リアルタイムで脅威情報、対策動向を提供する仕組みで、これもSecurity Connectedを形作る重要な柱の1つだ。

図1　「Security Connected」に基づいてグローバルに展開している脅威情報解析基盤、「Global Threat Intelligence（GTI）」

　同社はこれらの情報を、ユーザーごとの環境に応じた形で提供する「Local Threat Intelligence（LTI）」も提供する方針を明らかにしている。LTIでは、顧客が導入しているファイアウォールやIPSなどから情報を収集し、GTIの情報とも突き合わせながら、相関分析を通じて各企業それぞれに的確な脅威の状況をレポートする。

　ePOの次期バージョンやePO Real Timeは、LTIが提供するこうした情報とも連動し、何かが起こったときに適切な判断を下せる仕組みを提供していく

P2P技術を活用して高速な情報収集を実現

　ePO Real Timeは、クライアントに導入する「Real Time Client」、その情報を収集する「Real Time Server」、サーバに収集した情報を閲覧できる「Real Time Console」で構成されている。遠隔オフィスにある端末については、オプションの「Real Time Zone Server」を配置することで、Real Time Serverにデータを集約可能だ。また間にファイアウォールなどがあってP2P通信がブロックされる場合は、いったんServerに折り返して通信を継続できる仕組みだ。

　アーキテクチャの特徴は、P2P技術を活用して、帯域消費を少なく抑えながら正確な情報を迅速に収集できるようにしていること。Client本体もP2P技術を利用してインストールできるため、管理者にかかる負担は少ない。あらかじめ複雑な設定を行う必要もなく、数百台、数千台のクライアントが存在する環境でも、ほんの数秒でデータを収集できる。

図2　P2P技術を活用したePO Real Timeのアーキテクチャ

　ePO Real Timeで収集したデータは、Excelなどの形式で出力可能だ。しかもこのデータはSOAP形式で記述されており、データフィードも容易に行える。「プログラミングやインテグレーションも簡単に行える。XMLよりも柔軟で使いやすい」（スネル氏）。VBScriptやシェルを使って好きなように加工することもできるし、サードパーティのアプリケーションと組み合わせることも可能だ。

　米国のある大学では、現在ePO Real Timeのテスト導入を行っている。約2300台のPCが接続されている大規模な環境でも、自然言語検索を用いてすぐに、危険な状態にある端末、不審な端末を絞り込むことができ、セキュリティ管理者が少ない負担で即座に対処に移れるようにしているという。

セキュリティ対策の反射神経を強化

　企業を取り巻く脅威の高度化、そしてネットワークにつながる端末の増加と複雑化によって、セキュリティ管理者に届けられる情報の量は加速度的に増加している。そんな中、「いま起きていること」を正確に把握することの困難さも増しているが、「ePO Real Timeによって、新たなセキュリティインシデントに即座に対応できるようにする」（スネル氏）。

　ePO Real Timeは、国内では2013年内に提供を開始する予定だ。これにより、企業のセキュリティ対策の反射神経を鍛え、的確な対策を支援する強力なツールがまた1つ増えることになりそうだ。

全体最適の視点でセキュリティ対策を再構築