米ファイア・アイは、「サンドボックス型」と呼ばれる仮想環境を利用したセキュリティ機器メーカー。2014年1月、インシデント対応サービスを海外で提供していた米マンディアントを買収した。日本国内でも、このインシデント対応サービスを2014年中に提供する。その仕組みや海外での提供中のサービスとの違いを、担当ディレクターのDavid Cowart氏に聞いた。
インシデント対応サービスの概要を教えてください。
「TAP」(タップ、Threat Analytics Platform)と呼ぶクラウドサービスだ。ネットワーク機器やセキュリティ機器、各OS、データベースからイベント情報を収集して、サイバー攻撃を受けていないか監視する。サイバー攻撃を検知したら、企業の担当者にアラートを出し、対策を決めるために必要な情報を自動的に送る。
どうしてTAPを提供するようになったのか。
企業の担当者がサイバー攻撃を受けてからそれに気付くまでにかかる時間は、平均で243日だ。しかもその多くは、第三者からの指摘を受けて初めて気付く。2年前にこのような状況は問題だと考えて、TAPを開発した。
ファイア・アイのサンドボックス型セキュリティの製品があれば、TAPがなくても攻撃を検知できるのではないか。
TAPとサンドボックス型製品では、検知方法が異なる。TAPは、攻撃の“文脈”を見て攻撃を検知できる。文脈とは、攻撃が行われた際に、ネットワーク機器やセキュリティ機器、パソコン、データベースで、どんなイベントがどんな順番で発生したかということ。過去に見つかった攻撃の文脈と比較して、状況が一致していれば攻撃を受けていると判定できる。仮想マシン上の振る舞いを見て攻撃を検知するサンドボックス型製品と組み合わせて利用すれば、検知できる攻撃の幅が広がる。
対策を決めるために必要な情報とは、何か。
各機器で発生したイベントで、攻撃によるものをレポートにして送る。セキュリティの知識を十分に持つ担当者がこの情報を受け取れば、10分で対応方法を考え付くだろう。
セキュリティの担当者がいない企業では、TAPを使いこなせないのか。
TAPが役立つのは、セキュリティの担当者がいる企業や団体になる。具体的には、政府などの官公庁や大学などの教育機関、大企業だ。
海外とサービスの違いはあるのか。
米国では、セキュリティの担当者がいない企業向けに「Managed TAP」というサービスを提供している。Managed TAPでは、攻撃を検知してアラートを出した後、攻撃の調査を行い、これから実行すべき行動の計画や対策の策定などを盛り込んだレポートを提供する。このサービスを使えば、セキュリティの担当者がいない中小規模の企業でも利用しやすくなるだろう。ただし、このサービスは日本国内で提供しない。
当初、本文にあるTAPの正式名称に間違いがありました。正しくは「Threat Analytics Platform」です。お詫びして訂正します。本文は修正済みです。[2014/06/27 11:00]