--- ソースファイアのソリューションは、エンドポイントのセキュリティまでカバーしていると聞きましたが?原 --- はい、それが FireAMP(Advanced Malware Protection)というマルウェア対策ソリューションです。現在の巧妙化した企業や公共機関に対するサイバー攻撃は、UTMや次世代ファイアウォールなどのゲートウェイ型のネットワーク境界をいまこの瞬間もすり抜けています。これまでネットワークにおけるマルウェア対策は、これらゲートウェイを見張り、マルウェアを検知して侵入を未然に防ぐという考え方でした。 しかしマルウェアは進化を続けており、Webやソーシャルメディア用のアプリ、Mailなどを利用した最初の侵入段階では無害に見えても、後からマルウェアとして活動を開始するような手法(悪意のある機能を「スリープ」させる技術、未知のプロトコルの利用、暗号化など)が編み出されています。この様な場合、従来の境界型セキュリティゲートウェイだけでは対応できません。 また、APT(標的型攻撃)の場合、ほとんどのマルウェアはサンドボックスを利用した検知技術を回避する能力を備えているため、この手法を利用した未知のマルウェアの検出も、ほぼ不可能と言われています。これからの企業のICTセキュリティ対策は、これらの予防的手段による侵入の防止だけではなく、侵入されていることを前提に、遡及的(さかのぼり把握する)セキュリティの手法を利用して、ネットワーク内部でなにが起きているのか、感染源はどこか、どの範囲に同様の現象が拡散しているかを把握することで、リスクと付き合い、コントロールしていく仕組みが必要になります。 ここで有効な備えとして注目されているのが、FireAMPのTrajectory(トラジェクトリ:追跡)機能です。この機能が可能にするのは、ネットワーク内のエンドポイントで活動を始めたマルウェアと、その活動の結果生成されるファイルの挙動のネットワーク全体での追跡と可視化です。企業のCSIRTチームは、GUI上で可視化されたマップを使って関連する挙動の履歴をさかのぼり、感染源や侵入に使われたダウンローダーなどを特定し、実態を把握し、根治に繋げることができます。--- これまでのアンチウィルスソフトでは把握できなかった情報が得られますね。原 --- FireAMPでは、ネットワーク内で拡散するマルウェア(を含んだファイル)を追跡し、侵入ポイントや感染経路、使用されたプロトコル、どのユーザー / エンドポイントが感染したか などの詳細な情報をセキュリティ管理者に簡単な操作で提供できます。これにより、たとえマルウェアの侵入を許してしまった場合でも、感染の範囲を即座に把握し、 有効な対応策を効率的に行う事ができます。このように、FireAMPは単にマルウェア対策ソリューションというだけでなく、感染経路や感染範囲などを可視化し追跡出来るフォレンジックツールとも言えるのです。--- 今回シスコのソリューションに統合されて、さらにこの機能にも磨きがかかるのでしょうか?原 --- Sourcefireソリューションの他社に対する大きな特長は、FirePowerなどのアプライアンスによるネットワークレベルでの検出データと、FireAMPによるエンドポイントのシステムレベルの検出データをあわせることで、組織のネットワーク全体に複数のベクトルで侵入し、発現する現代のセキュリティ脅威を可視化して、目で見て分かるマルウェア対策が取れる点です。今回のシスコのセキュリティソリューションとの統合で、これまでシスコが提供してきた強力なセキュリティソリューションもこの輪の中に加わり、既存のシスコソリューションの資産を活かしながら、現在の脅威に対応できるアンチマルウェアプロテクションに連携できるよう拡張していくことが可能になります。今回シスコの発表する新しい包括的なセキュリティ戦略にご期待ください。--- セミナーが楽しみですね。本日はありがとうございました。 出口の見えなくなっている現在のセキュリティ対策に対し、シスコが次世代のICTセキュリティ戦略として、何を指摘し何を提案するのか世界中の注目が集まっている。Security Days 2014の2日目、3月7日に、シスコは一日を通したセッションを行い、米国からも多数のスペシャルスピーカーが来日し、その全貌を紹介する予定だ。
