検索
ニュース

3種の脅威インテリジェンスで実現するファイア・アイの「包括的なセキュリティ対策」とは侵害のキルチェーン全体を可視化する

米ファイア・アイのプロダクトマネジメント担当バイスプレジデント、ディーン・チョーザ氏の来日に合わせ、近年の標的型攻撃の動向と、それに対する同社の製品戦略を尋ねた。

Share
Tweet
LINE
Hatena

防御側に必要なのは「常に適応し、変化すること」


米ファイア・アイ プロダクトマネジメント担当バイスプレジデント ディーン・チョーザ(Dean Coza)氏

 既知の攻撃パターンデータベースを参照する、いわゆる「シグネチャベース」のセキュリティ製品では検出が困難だった未知のマルウェアを、「仮想実行環境技術」を活用して検出することで一躍注目を集めたのが、ファイア・アイの製品群だ。同社は、独自開発の仮想マシンをベースにした仮想実行環境技術「MVX」を継続的に改善するとともに、脅威インテリジェンスや同社の専門家の知見を活用することで、包括的なセキュリティを提供するという。

 米ファイア・アイのプロダクトマネジメント担当バイスプレジデント、ディーン・チョーザ(Dean Coza)氏は、「この10〜15年で脅威の本質は様変わりした」と述べ、「もはや攻撃者はシンプルなマルウェアを用いない。時には大規模な犯罪組織や政府からの支援を受け、洗練されたツールや豊富な資金を用い、ユニークなマルウェアを送り込んでくる」と指摘した。同氏によると、こうした攻撃に使われるマルウェアの80%以上は「一意」のものであり、シグネチャベースの対策では検出困難だという。

 2015年に発生した日本年金機構からの情報流出事件でも明らかになった通り、標的型攻撃は複数のステップを踏んで仕掛けられる(参考記事)。まず、最初の一台に侵入を果たした後に、攻撃者が操る制御用サーバ(C&Cサーバ)にコールバックし、さらに別の未知のマルウェアをダウンロードさせる。そして、ネットワーク内部に侵入を広げ、複数の足掛かりを作り、価値ある情報がないか探索していく。もし有益な情報が見つかれば、別途用意したステージングサーバにファイルをコピーし、暗号化して外に持ち出してしまう。ネットワーク管理者が侵入の兆候をつかんで対策を実施しても、また別の端末に侵入したり、バックアップとして用意しておいた足掛かりを使用したりすることで、侵害を続ける。

 こうした手の込んだ攻撃に対処するには、最初に侵入してくるマルウェアの検知に注意を払うだけでは不十分だ。「攻撃のあらゆるステージを把握し、(偵察、武器化、デリバリなどから目的実行に至る)一連のサイバーキルチェーンを“可視化”することが重要だ。攻撃のライフサイクル全体を把握した包括的なセキュリティが求められている」(チョーザ氏)。そして守る側は、脅威インテリジェンスを活用し、相手の手の内に常に適応し、変化していかなくてはならないとチョーザ氏は指摘する。

Invotas、iSight Partners買収で「包括的な対策」をさらに推進

 チョーザ氏によれば、ファイア・アイでは、従来型のセキュリティ製品を組み合わせるだけの多層防御ではなく、新しい多層防御を提案していくという。その実現に向けて同社は、InvotasとiSight Partnersという2つの企業を買収した。


近年の標的型攻撃の手口やそれに対する同社の戦略を説明するチョーザ氏

 Invotasが提供するのは、「セキュリティオーケストレーション」を実現する製品だ。攻撃に関する情報を収集、解析し、その結果に基づいて自動的に防御策を実施することで、セキュリティ担当者を支援するのだという。「現在、インシデントレスポンスチームが多くの時間を費やしているのが、さまざまなセキュリティツールから情報を収集する作業だ。このため、意思決定までに時間がかかってしまう」(チョーザ氏)。Invotasの製品は、情報の収集・分析作業を自動化し、速やかに対処を行えるよう支援するものだ。

 また、標的型攻撃というと長期にわたって標的の組織内に潜伏するというイメージが持たれがちだが、必ずしもそうとは限らない。中にはヒット・アンド・アウェイ式の攻撃もあるという。「脅威が侵入してから検知されるまで平均で205日間組織に存在していたという調査結果がある一方で、侵害を受けてからわずか数分でデータが流出したケースもある」(チョーザ氏)。後者のようなケースでは、いかに短時間で対応できるかがカギとなる。そこで、Invotasの製品とファイア・アイの製品とを連携させることで、数分以内のレスポンスを実現していくという。

 もう一社のiSight Partnersは、「脅威インテリジェンス」を提供する企業だ。ファイア・アイ自身も、また傘下のMandiantも独自の脅威インテリジェンスを有しているが、これらが主に“攻撃の被害”に関する情報を収集しているのに対し、「iSight Partnersは、“攻撃者に関する”インテリジェンスを提供する。約350人のアナリストが、時にはハッカーコミュニティーに潜伏するなどして情報を収集している」(チョーザ氏)。これらの3種類のインテリジェンスを組み合わせることで、より強力な防御が可能になるとチョーザ氏は述べる。

 「攻撃者の振る舞いを理解することは重要だ。相手の動きを知ることにより、予防策をとることができる。攻撃者は、コンセプト実証コード(PoC)がリリースされ、テストされ、攻撃手法の確立を経て実際の侵害に至るという一連の流れの中で、時には他の攻撃者と協業しながら侵害を試みる。攻撃側のインテリジェンスによってこうした動きを知ることで、効果的に、時には予測的に防御できる」(チョーザ氏)。

 また、一連のインテリジェンスは、同社の仮想実行環境型ソリューションであるMVXにも反映される(参考記事)。例えば、「ある攻撃手法が使われる頻度が落ちた」といった情報をMVXに反映し、クラウドベースの機械学習と組み合わせることで、わずかな変化や潜在的な攻撃の兆候にも気付けるようブラッシュアップを続けていくという。

 チョーザ氏はまた、既存の検知技術では「脅威がすり抜けることがあると同時に、多くの誤検知が発生し、本当に大事な情報が見えなくなってしまう」とも指摘。ファイア・アイ内にSOCを設けてセキュリティサービスを提供し、アダプティブセキュリティの実現を支援することも検討しているそうだ。


標的型攻撃の流れ(画像左から中央部)と、同社製品へのフィードバックの様子(画像右部)

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  2. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  3. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  4. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  8. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  9. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  10. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
ページトップに戻る