SecureWorksが提供するスレット・インテリジェンスのサービスは大きく4つの部分からなる(図2)。(1)〜(3)は既存のサービスだ。
全ての基盤となるのが図中で(1)とある「グローバル・スレット・インテリジェンス」。契約を結んだ企業は、専用ポータルサイトを経由して、情報を受る取ることが可能になる。ここにはCTUが日本固有の情報を含め、あらゆる情報を追加していく。マネージドセキュリティサービスでSecureWorksが得た情報の他、個別のインシデント対応で調査した実際の脅威の情報、リサーチ情報を取得できる。
顧客の負担を減らす工夫もある。「顧客が入手できるセキュリティ情報が多過ぎる。どうやって賢く効率的にリルタイムに対応すればよいのか、顧客が悩んでいる。そこで、大量の分析情報を自ら検索する必要がないようにした。サービス契約時に顧客ごとのシステム情報をあらかじめ設定することで、顧客が必要とするクリティカルな情報だけを提供できるようにした」(SecureWorks Japanでセキュリティ&リスク・コンサルティング マネージャを務める三科涼氏)。
グローバル・スレット・インテリジェンスのサービス内容のうち、(1)〜(3)をより詳しく示すと、図3のように分かれる。
「攻撃者データベース」はオプションサービス(アドオン)。監視サービスやインシデント対応で蓄積している脅威について、さらに具体的な情報を提供する。1日当たり何度も情報を更新しており、例えばフィッシング用のURLやIPアドレスなどの具体的な情報(インディケーター)をそのまま顧客に提供できる。「顧客が導入したセキュリティ機器に取り込みやすい形で提供するため、情報を常にアップデートし続けることが容易になる」(三科氏)。
最下段はCTUの調査員が直接支援するサポート。「マルウェアに感染したので解析してほしい」といった顧客の要望を受け付ける。「CTUリサーチャーのリサーチ時間を買う形になり、脅威やマルウェアを指定して分析ができる。実検体の解析も可能だ」(三科氏)。
Copyright © ITmedia, Inc. All Rights Reserved.