「誰が何の目的でどこの何をどんな手法で狙っているか」。サイバー攻撃のコンテキスト(文脈)を説明した「サイバー・スレット・インテリジェンス(CTI)」を使いやすくするサービスが拡充してきた。攻撃の全体像が見えていれば、自社が受けた攻撃の一端から守るべきポイントが絞り込めるため、効果的なサイバー防御を展開しやすくなるのがメリットだ。

 CTIはセキュリティ会社がサービスとして提供するケース、利用者が登録して無償で検索できるケースなどがある。内容は、「キャンペーン」と呼ばれる特定の国や地域、業界などを狙った一連の攻撃の背景(コンテキスト)をまとめた調査報告書から、攻撃メールの特徴的な文字列や不審なマルウエア(悪意のあるソフトウエア)のMD5ハッシュ値、攻撃で使われるURL/IPアドレスといった攻撃の痕跡を示す指標(インジケーター)だけのこともある。

 主な利用者はセキュリティ事故対応に当たるCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム、シーサート)やセキュリティ状況を監視するSOC(セキュリティ・オペレーション・センター、ソック)。セキュリティ施策が整備された大企業での活用が多く、例えば東京電力ホールディングスや伊藤忠商事などでは既に防御に使っている。

アナリストのインテリジェンスを使って分析

 標的型攻撃の対策製品、解析サービスなどに強みを持つ海外企業2社がこのほど、相次ぎサービスの開始・強化を打ち出した。米ファイア・アイのグレイディ・サマーズCTO(最高技術責任者)は日経コンピュータの取材に対し、「インテリジェンスをベースにセキュリティ作業を簡素化するクラウドサービスである『FireEye HELIX』を2017年前半にも日本で提供開始する」と明らかにした。

米ファイア・アイのグレイディ・サマーズCTO(最高技術責任者)
米ファイア・アイのグレイディ・サマーズCTO(最高技術責任者)
[画像のクリックで拡大表示]

 HELIXは2種類の情報源を統合的に解析してサイバー攻撃を検知し、その初期対応まで自動で進める機能を持つ。情報源の一つが、ファイアウォールや端末のウイルス対策ソフト(エンドポイント)、IDS(侵入検知システム)などの従来のセキュリティ製品のログである。