サイバー攻撃へリアルタイムに対処する新対策、McAfeeが示す次のセキュリティ

米McAfeeの年次セキュリティカンファレンス「McAfee FOCUS 2013」が現地時間10月2日、ネバダ州ラスベガスで開幕した。6回目を迎える同イベントには60カ国以上から約3000人が出席。初日の基調講演では セキュリティの脅威をリアルタイムに検知して迅速な対応を促すという新世代のセキュリティ対策の方向性が提示された。

●安心のためのセキュリティとは何か

 基調講演の前半では同社プレジデントのマイケル・デシーザー氏が、ITセキュリティのビジョンについて語った。ITが社会に深く根付くようになった現在、個人や企業、組織といったITを利用する側が直面するリスクはかつてないほどに高まっている。

  「標的型マルウェアはこの1年でもかつてないほどに増加している。無償ダウンロードできるアプリがマルウェアの侵入経路にもなった。ネット決済を円滑にす ると期待されたBitcoinを悪用する犯罪も出現した。ITの可能性を守り、安心・安全を実現することが我々の使命だ」(デシーザー氏)

  ITセキュリティは、こうしたリスクからユーザーを保護するために存在するが、リスクや脅威があまりにも高度化、巧妙化し、それに応じて対策も複雑で重厚 なものになった。ITによって本来享受されるべきメリットが、セキュリティ対策のために損なわれてしまうシーンもあるだろう。デシーザー氏のメッセージ は、そうした現実を踏まえ、ITの利用者に安心と安全を提供するというセキュリティの本質を具現化する道筋を示すものでもあるようだ。

 「今やクラウドにあらゆる人事や財務といった重要なデータが集約される時代だ。だが、5年ほど前までは考えられなかっただろう。クラウドのセキュリティが強化され、銀行の金庫に安心して資産を預けるのと同じように、セキュリティがITの可能性を実現した」(同氏)

  これからの時代は、特にアイデンティティをいかに安全かつ安心して利用できるようにするかが焦点になるという。既にGoogle Glassに代表されるウェアラブルデバイスが登場し、自動運転が自動車も研究が進む。「医薬品のボトルにIPが付与され、患者がボトルのキャップを開け たことを自動的に認識して、誰が、いつ、どこで服用したのかも分かるようになる。それらの大切な情報を保護するには、人を中心にしたアプローチでなければ ならない」(同氏)

 ただし、IT利用のスタイルがこうした方向に進もうとする中では「デバイド(格差)」も生じるという。それはネット ワークやデバイス、コンプライアンスといったさまざまな領域を生じており、「システム同士がコミュニケーションできないことは人と人とのつながりも分断さ せる。それを乗り越え、便利で安全なものにしなければならない」とデシーザー氏は強調する。

 同社は「Security Connected」という戦略を打ち出し、個々のセキュリティシステムを1つにつなげ、包括的なアプローチによって安心・安全の実現を目指しているとい う。ここではエンドポイントからネットワークまでを各種の対策ポイントや脅威対策の情報基盤「Global Threat Intelligence(GTI)」などが連携し、統合管理基盤の「ePolicy Orchestrator(ePO)」で一元的に情報を提供する仕組みを実現している。2010年のIntelによる買収以降は、この戦略がハードウェア 領域にも拡大し、例えば、OSを改ざんするようなコンピュータの深部で活動するマルウェアを検知、遮断する「Deep Defender」などのソリューションも開発している。

 デシーザー氏は、この戦略をさらに推進する新たな取り組みとして、 SIEM(セキュリティイベント・インシデント管理)による脅威の検知・分析をリアルタイムに行い、その場で遮断やシステムの修復が行えるソリューション 「McAfee Real Time Advanced for ePO」と、このソリューションを強化する次世代ファイアウォール、サンドボックス環境による静的・動的解析やGTIの情報などから脅威の危険度を総合的 に判定して対応をアドバイスする「McAfee Advanced Threat Defense」アプライアンスを発表した。

●高度な情報分析と対策連携が鍵

 デシーザー氏に続いて登壇したエグゼクティブバイスプレジデント兼最高技術責任者(CTO)のマイケル・フェイ氏は、Security Connected戦略での技術面での取り組みを紹介した。

  フェイ氏によれば、Security Connectedに基づくソリューションは、Intelとの協業によるハードウェア層でのセキュリティ強化を基礎に、エンドポイントやネットワークにお けるコンテクストの集約、一元的なセキュリティ管理、防衛策の提供、脅威分析、情報活用から構成される。

 製品レベルでは同社が買収した 技術も含めてePOと連携するようになっているほか、200以上のパートナー製品ともAPIを介してePOと連携できるようになっている。「各種の対策ポ イントで検知した情報が全て1つにつながるアーキテクチャであり、情報を集約する基盤の拡充やそれらを一元的に活用する仕組みを開発しつつ、同時に Intelとはチップセットレベルでセキュリティを組み込む『Secure by Design』を推進している」(フェイ氏)という。

 デシーザー氏が発表した次世代ファイアウォールやMcAfee Advanced Threat Defenseアプライアンスは、これまで同社に欠けていたポートフォリオを強化するという位置づけになる。

  次世代ファイアウォールでは既に競合他社が製品を市場に投入して久しいが、「当社ではディープパケット解析(DPI)によるアプリケーションの識別や制御 だけでなく、IPSなど各種のネットワークセキュリティ技術も活用して、DPIでは検知の難しい脅威にも対処した」(同氏)という。元々は同社が今年7月 に買収したフィンランドのセキュリティ企業Stonesoftの技術だが、ePOと連携するための機能強化を進めている。

 McAfee Advanced Threat Defenseアプライアンスも、サンドボックス解析による脅威検知としては既に競合製品が存在するものの、フェイ氏はサンドボックスを含めた多角的な解 析処理とGTIの情報を生かした脅威検知に強みがあると説明した。両製品は日本も含め2013年第4四半期中の発売を予定する。

 さらに McAfee Real Time Advanced for ePOは、こうした新製品や既存の対策ソリューション、パートナー製品との連携をベースに、脅威の可視化からブロックや修復といったアクションまでの全て をシングルコンソールで行えることを目指しているという。

 「SIEMの次の担うものになる。これまでは脅威を効率的に可視化できること が焦点になっていたものの、今後はリアルタイムな相関分析や自然言語検索になる脅威の可視化に加え、必要なアクションを実行するまでのプロセスも自動化す る。ユーザーが手間をかけることなく適切に自社の環境を保護していけるように、この戦略を進めたい」とフェイ氏は述べた。

 なお余談にな るが、今回のカンファレンスの直前にMcAfee創業者のジョン・マカフィー氏が発表した"NSAブロック端末"の「D-CENTRAL」は米国でも大き な話題になっている。カンファレンスの基調講演後に行われたメディアとの質疑応答では、フェイ氏にD-CENTRALに対する印象を問う記者もいたが、現 在マカフィー氏とMcAfeeとの間には一切関係が無いため、「アカデミックな見地としてはユニークなものなのだろう」と述べるにとどまった。

【ニュースソース】Yahoo!ニュース
http://headlines.yahoo.co.jp/hl?a=20131003-00000085-zdn_ep-sci