サイバー攻撃の情報を迅速に提供、ファイア・アイが日本語でサービス開始:侵害の兆候だけでなく文脈もレポート
ファイア・アイは2016年4月26日、高度なサイバー攻撃の分析と、封じ込めに必要な情報提供を支援するセキュリティサービス「FireEye as a Service」(FaaS)を、日本語でも提供することを発表した。
ファイア・アイは2016年4月26日、APT(Advanced Persistent Threat)をはじめとする高度なサイバー攻撃の分析と、封じ込めに必要な情報提供を支援するセキュリティサービス「FireEye as a Service」(FaaS)を、日本語でも提供することを発表した。2015年7月から提供を始めていたサービスだが、日本語による対応やレポートの提供を新たに開始する。同時に、その基盤となるオペレーションセンター「Advanced Threat Response Center(ATRC)」を都内に開設し、運用を開始した。
ファイア・アイはこれまで、仮想化環境上で疑わしいファイルを実行し、未知の脅威を発見するサンドボックスアプライアンス製品を中心に提供してきた。しかし、同社プレジデント 執行役社長の茂木正之氏は「『(アプライアンスで)100%大丈夫か』という質問には、そうではないと答えざるを得ない。経営陣も含めた、何か起きたときに対応できる体制作りが重要だ」と述べ、FaaSをはじめとするセキュリティサービスを通じてその部分を補完すると説明した。
FaaSでは、世界7カ所に設置したSOC(Security Operation Center)とATRCに所属する約100名のエンジニアが、同社製アプライアンスからリアルタイムに得られる情報を分析し、傘下にある米Mandiant、そして2016年1月に買収したiSIGHT Partnersが提供する脅威インテリジェンス情報を加味して調査を行う。何らかの攻撃キャンペーンに関する兆候を把握すれば、その封じ込めに必要なIoC(Indicator of Compromise:セキュリティ侵害の証拠や痕跡)情報を提供し、ネットワーク機器などで遮断できるよう支援する。
ファイアウォールや不正侵入防止システム(IPS)のアラートを監視し、不審な動きを顧客に通知するセキュリティサービスは他にも複数存在する。これらに対しFaaSは、脅威インテリジェンスを活用し、「文脈」に沿ってサイバー攻撃に関する情報を提供することが特徴だ。
顧客に提供されるレポートでは、侵入に用いられたマルウェアや生成されるファイル名、アクセス先のURLといった情報に加え、「攻撃者は誰で、その目的は何か。また、どのように侵害を受け、どの程度被害が広がっているかを踏まえ、『今すぐネットワークから切り離すべき』『しばらく泳がせて調査を続けてもよい』といった具合に、封じ込めに向けて推奨する対処法も提示する」(米ファイア・アイ カスタマー・サービス担当上級バイス・プレジデント、アントニー・コリッシュ氏)
同サービスは、主にマネージドセキュリティサービスを提供するパートナー企業を通じて提供していく。「WideAngle」を提供するNTTコミュニケーションズもその一社だ。会見に同席したNTTコミュニケーションズ 経営企画部 マネージドセキュリティサービス推進室室長 与沢和紀氏は、SIEM(Security Information and Event Management)や機械学習、NTTのアナリストの知見を活用して得られた情報に、FaaSのグローバルな知見を組み合わせることで、「短時間で攻撃に気付き、重要な情報が外部に流出する前に多段でブロックできるよう、即時に指令を下す連携防御ソリューションを実現していく」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.