ここから本文です

「99日あれば、脅威の水平展開には十分だ」 FireEyeのキーパーソンが示す製品強化の狙い

6/23(金) 7:55配信

@IT

 セキュリティ企業のFireEyeは2017年6月14日、脅威の侵入経路、原因、影響範囲などを突き止めるEDR(Endpoint Detection and Response)製品「FireEye HX」を強化し、アンチウイルスと復旧機能を追加することを発表。同時に、クラウドや仮想環境を中心に対応プラットフォームも拡大する。この新バージョンは2017年第3四半期に提供される予定だ。

セキュリティ侵害が発生してから検知するまでの時間は短くなっているが……(出典:M-Trends 2017)

 FireEyeでは、電子メールに添付されるような未知のマルウェアやネットワーク経由の不正アクセスをサンドボックス技術を用いて検出する「FireEye EX」と「FireEye NX」に加え、2014年からエンドポイントセキュリティ製品 FireEye HXを提供してきた。エンドポイント(ネットワークに接続されるPC、スマートデバイス、サーバなどの端末)を脅威から防御するだけでなく、その脅威を速やかに「検知」し、隔離するなどの「レスポンス」を取れるように支援することで、企業の「インシデントレスポンスプロセス」を支援するツールだ。

 新製品の導入意図とは。FireEye プロダクトマネジメント担当シニアバイスプレジデントのディーン・チョーザ氏に聞いた。

 「新しいFireEye HXでは、FireEye EXなどと自動的に連携することにより、その情報を確認して敵を封じ込め、“より迅速”にレスポンスできる。つまり、“これまで検知できなかったもの”も検知し、攻撃者を追い出すことができるようになる」(チョーザ氏)

 FireEye HXでは、機械学習技術も併用する。導入した顧客から得られたサンプルを元に“さらに正確”なデータモデルを構築し、ファイルやマルウェア分析を行える機能も統合する。

 これらの製品は、FireEyeと、その傘下にあるMandiantが収集・蓄積する脅威インテリジェンスや、iSight Partnersの買収を通じて統合した攻撃者に関するインテリジェンス「FireEye iSIGHT」と連携し、統合プラットフォーム「FireEye HELIX」の一部として動作する。このため、「複数のステージにまたがる複雑な攻撃を理解した上で、IPアドレスやファイルのハッシュ値といったIoC(Indicator of Compromise:侵害の痕跡)にとどまらず、攻撃グループの動機と技術、戦術、手順(TTP)に関する知見を提供し、攻撃への対応とハンティングを支援できることが、他社にはない特徴だ」とチョーザ氏は述べた。

 2017年第3四半期に予定されているアップデートでは、既存ユーザーは追加コストなしでアンチウイルス機能を提供する。「これによって、EDRだけでなく、エンドポイントプロテクション(EPP)の両機能を1つのエージェントで提供可能になる」(チョーザ氏)

●クライアントPCだけでなくサーバもEDRの対象に

 昨今、「シグネチャベースのアンチウイルスは終わった」などと指摘され、“EPPにEDR的な機能を追加する”ベンダーが増えている中で、FireEyeが“EDRにEPP的な機能を追加する”のはなぜだろうか。

 「アンチウイルスはシグネチャに基づいて既知の攻撃を検出するが、近年の巧妙な攻撃にはもはや効果がないことは明白だ。しかし、PCI DSS(Payment Card Industry Data Security Standard:PCIデータセキュリティスタンダード)をはじめ、さまざまな法規制やガイドラインへのコンプライアンスを満たす上で、あらためてアンチウイルスの導入が求められることがある。残念ながら法規制や標準化の動きはとても遅く、脅威の早い動向にはついていけていない。一方で、高度な脅威をいち早く検知して対処するにはEDRが必要。顧客は複数のエージェントを導入し、それを運用する必要があった。だから、これらを1つに統合し、1カ所から運用できるようにした。企業は、コンプライアンスと保護の板挟みに悩まなくて済むようになる」(チョーザ氏)

 アップデートではまた、Amazon Web Services(AWS)やMicrosoft Azure、VMwareなどに対応したクラウド版および仮想環境版を追加し、併せてmacOSやLinuxもサポートする。これによって、エンドポイントという単語からイメージされる一般ユーザーが使うクライアントPCだけでなく、企業ITにおいて特に重要な役割を果たすサーバも保護し、同様のインシデントレスポンス体制の下で運用できるようにする。これが大きな狙いだ。

 「サーバにおいてもEDRは極めて重要だ。昨今の巧妙な攻撃は、最初のステップではクライアントを狙うが、次のステップではネットワーク内で水平展開(ラテラルムーブメント)し、サーバにも侵入を試みる。だから、サーバもエンドポイントの1つとしてカバーし、攻撃者の水平展開を把握することがとても重要になる」(チョーザ氏)

 FireEyeでは、その作業を同社とMandiantが収集して得られた膨大な知見を活用して支援していくという。

 また同社は、セキュリティの動向に関する年次レポートを公表している。2017年5月に公表された最新版「M-Trends 2017」によると、グローバルでのセキュリティ侵害が発生してから検知するまでの期間の中央値は、2015年の146日から、2016年は99日に短縮。アジア太平洋地域に限っても、同じく560日から172日へと大きく短縮している。

 しかしチョーザ氏は、「それでも十分とはいえない。攻撃者にとって、水平展開する準備期間は99日あれば十分だからだ」と警鐘を鳴らし、以下のように目標を掲げた。

 「だからFireEyeでは、FireEye HXをはじめとする複数の技術を活用し、日単位ではなく、“数分単位”での検知を可能にしていく」(チョーザ氏)

 こうした目標を達成するには、企業や組織におけるインシデントレスポンス体制の整備が不可欠だが、そこで直面するのが「人材不足」の問題だ。FireEyeは、複数の製品と連携したセキュリティ運用支援製品「Helix」を提供することで、セキュリティ運用の複雑さとコストを減らし、高度なSecurity Operation Center(SOC)への移行を支援していくことで、この課題にも対応できると訴えた。

 「効果的なSOCを実現するには3つのポイントがある。1つ目は、正確に状況を把握できる可視性を確保すること。あまりに多くの誤検知を出してしまう既存のツールでは、これは難しい。2つ目は、インテリジェンスや文脈を結び付け、侵入後の対応やハンティングを行うこと。そのためには、ハッシュ値やURLといったIoCだけでなく、TTPも含めた高度な知見が必要になる。そして3つ目の要素は自動化だ。自動化によって人手不足の解消につながるだけでなく、常に一貫性を保った形でレスポンスできる。誰かが退職しても、標準のプロセスに基づいて対処できるようになる。これができるのがFireEyeである」(チョーザ氏)

最終更新:6/23(金) 7:55
@IT