検索
ニュース

カスタマイズがいっそう進む標的型攻撃を機械学習で監視、カスペルスキーが対策製品イベントという「点」を、標的型攻撃の「線」に

カスペルスキーが、標的型攻撃対策に特化した企業向けセキュリティ製品「Kaspersky Anti Targeted Attack Platform(KATA)」を発表した。製品投入の背景と狙いを開発キーパーソンに聞いた。

Share
Tweet
LINE
Hatena
photo Kaspersky Lab KATA開発責任者のアルチョム・セレブロフ氏

 カスペルスキーは2017年4月20日、標的型攻撃対策に特化したセキュリティ製品「Kaspersky Anti Targeted Attack Platform(KATA)」を発表した。

 KATAは、企業ネットワーク内に設置して情報を収集する「センサー」と、その情報をカスペルスキーのインテリジェンスや機械学習技術を活用して解析する「セントラルノード」、そこから得られた情報に基づいて未知のマルウェアを検出する「アドバンスサンドボックス」という複数のコンポーネントで構成される。企業のITインフラ全体を対象に、中長期にわたって展開される攻撃活動を監視する。

 ロシアのKaspersky LabでKATAの開発責任者を務めるアルチョム・セレブロフ氏は、同製品の開発背景を踏まえた標的型攻撃対策の現状をこう述べる。

 「標的型攻撃は、侵入から情報漏えいなどのインシデント発生まで、シンプルで直線的なプロセスのように説明されがちだが、それは異なる。複数の“点”があちこち複雑につながっているような、込み入ったアプローチを取っている。セキュリティ担当者にとって重要なのは、このように散在する点をつないで“線”にし、全体像を把握することだ。しかし実際には、異なるセキュリティソリューションから見きれないほどに多くのアラートが通知されるので、複数のコンソールを見比べながら、重要なイベントを特定するのが困難な状況にある」(セレブロフ氏)

 カスペルスキー ビジネスディベロップメントマネージャーの千葉周太郎氏も、「既に次世代ファイアウォールやサンドボックスといったセキュリティ製品を導入済みの企業も多い。しかし、それぞれが独自にわらわらとアラートを出すために、重要なポイントを見逃す恐れがある」と述べる。

 KATAはこうした状況を踏まえ、既存のセキュリティ製品を補完しつつ、インフラ全体を見渡して監視するための「新しいレイヤー」という位置付けにした。攻撃コードが添付されたフィッシングメールの受信から、不審なホストとの通信、「Mimikatz」のような認証情報を盗み取るマルウェアツールのダウンロードに至るまでの一連の動きを、個々のイベント単位ではなく、中長期的なつながりとして、いわゆる「キルチェーン」の単位で把握できるよう支援するという。

photo KATAでは、複数のイベントをばらばらにではなく、1つの「キルチェーン」にまとめて追跡する

 特長の1つは、定義データベースやレピュテーション、振る舞い分析といった手法に加え、機械学習技術を実装した「セントラルノード」の存在だ。最近、機械学習技術をセキュリティ製品に適用する動きが活発になっているが、その多くはクラウドベースのサービスとして展開される。これに対してKATAのセントラルノードはオンプレミスに導入する。顧客それぞれの環境やトラフィックパターンを学習し、クラウド側のエンジンから提供される情報も加味して相関分析を行い、不審な動きを見つけ出す。これによって、脅威を特定するまでの時間を短縮するとともに、限られたセキュリティ担当者の負荷も低減できることになる。

 セレブロフ氏は、「カスペルスキーには、機械学習のエンジン以外にも、それを支えるグローバルな脅威インテリジェンスや、標的型攻撃の調査に特化した専門家の知見がある。“Machine(機械)”だけではなく、“Human(人)”だけでもない。“Humachine”のインテリジェンスを持つことが特長だ」と述べた。

 セレブロフ氏はまた、「標的型攻撃は以前からあるが、戦術も技術もますます高度化している。顕著な傾向の1つとして、各攻撃がターゲットに合わせてカスタマイズされた結果、シグネチャはおろか、IOC(Indicator of Compromice:侵害の痕跡情報)も意味を為さなくなってきている。また、メモリ常駐型のファイルレスマルウェアを用いるケースも増加している。再起動すると痕跡が消去され、解析が困難になってしまう」と指摘した。そこでセントラルノードでは、わずかな特徴からでもルールを作成し、ある特定の環境でしか動作しないマルウェアも検知できる「YARAルール」を採用し、検出能力を高めているという。

 「標的型攻撃に対しては、始めからセキュリティを念頭に置いてIT環境を設計することが重要だ。そして定期的に脆弱(ぜいじゃく)性を検査し、パッチを適用し、従業員に対するトレーニングを実施するとともに、ゲートウェイやサーバ、エンドポイントといった全てのポイントを保護することが大切だ。ただし、インシデントを分析し、リスクを特定する作業を人力だけで行うのは、もはや困難である。こうした部分に機械学習技術をうまく活用することで、専門家を支援できるだろう」(セレブロフ氏)

photo KATAのダッシュボード画面

 KATAには、対象となるネットワークの規模や帯域に応じて複数のライセンスプランが用意される。参考価格は、従業員1000人までの企業を対象とした「Entryプラン」で750万円(税別)からとなっている。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  2. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  3. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  7. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  8. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  9. 堅調なID管理や認証、脅威インテリジェンスなどを抑え、2024年上半期で最も成長したセキュリティ分野は?
  10. NIST、3つのポスト量子暗号(PQC)標準(FIPS 203〜205)を発表 量子コンピュータ悪用に耐える暗号化アルゴリズム、どう決めた?
ページトップに戻る