5月27日、ファイア・アイは今年1月に買収が発表されたマンディアント(Mandiant)の製品を含む「FireEye Security Platform」を発表した。これと併せて、マンディアントが加わることでどのような化学反応が期待されるのか、合併に至った背景などが説明された。
エンドポイント分野のテクノロジーが欲しかったファイア・アイ
「FireEye Security Platform」は、不審なプログラムを仮想環境で実行して検証するファイア・アイ独自開発の「Multi-Vector Virtual Execution(MVX)」エンジンと、クラウド型インテリジェンス「FireEye Dynamic Threat Intelligence」を基盤とするプラットフォームになる。エンドポイントの脅威検知および感染時の隔離などを行なう「FireEye HXシリーズ」、マネージドセキュリティサービスの「Managed Defense」をラインアップするほか、不正侵入防止機能も新規搭載予定だ。各製品およびサービスは、2014年第3四半期以降、順次提供開始される。
FireEye Security Platform概要
このポートフォリオの中でマンディアントの製品が、FireEye HXシリーズだ(旧称Mandiant for Security Operations)。そして、これこそFireEyeが求めていたエンドポイント分野の製品であり、テクノロジーだった。
ファイア・アイの製品は、アプライアンス内の仮想環境で不審なプログラムの挙動を解析、その遷移を明らかにすることでシグネチャがまだ存在しない、ゼロデイ攻撃を特定する。ただし、この遷移データを保存できる期間は2日間だという。「だからこそ、リアルタイムにフォレンジック解析して問題のエンドポイントを特定、対策を発動できる技術が必要だった。マンディアントが加わったことで、製品機能は大幅な進化を遂げた」(ファイア・アイの技術部、田中克典氏)。
インシデントレスポンスの実績も魅力
マンディアントのもう1つの魅力は、膨大なインシデントレスポンスの実績とインテリジェンスだ。マンディアントと聞いて最初に思い浮かべるのは、サイバースパイ活動に特化した調査報告書「APT1レポート」だろう。最近、米国政府が中国人民解放軍61398部隊の将校5名を訴追したが、そのきっかけがこのATP1レポートだったと、ファイア・アイ カントリーマネージャー 茂木正之氏は言う。
ファイア・アイ カントリーマネージャー 茂木正之氏
「ファイア・アイ製品は、現在ワールドワイドで400万以上が導入されており、不正なプログラムはこれら製品内の仮想環境で分析、見える化され、攻撃情報として収集される。これに、マンディアントのインシデントレスポンス実績やインテリジェンス、コンサルティング経験などが加わったことで、より総合的なAPT対策ソリューションが完成する」(茂木氏)。
マンディアントのM-Trendsレポートによると、アンチウイルス製品やIPS製品の導入率は100%であるにもかかわらず、不正プログラムが社内システムに侵入してから検知まで、平均229日もかかっているという。
「標的用にあつらえられた不正プログラムは、もはやシグネチャベースの製品では検知できない。しかも、一度成功したら終わりではなく、システム内に身をひそめながら何度も執拗に情報を狙ってくる」。そう述べる米ファイア・アイのCTO、デイブ・メルケル氏は、APT1レポートで攻撃グループに関する報告を出しても、先方はアプローチやテクニックを変えるだけで、攻撃はいまだ続いているという。
「今後、こうした標的型攻撃はさらに増えると予想される。従来の手法は効果ない。現在のセキュリティ対策を見直す時期に来たのだと感じている」(メルケル氏)。
米ファイア・アイ CTO デイブ・メルケル氏
新プラットフォームの製品群の提供開始時期は、まだ未定だ。現在はまだ準備期間にある。たとえばポートフォリオにあるManaged Defenseだが、自社内で解析できない企業にとって、監視および解析をアウトソースしたいというニーズは高く、魅力的なサービスだ。
「ただし、不正プログラムの遷移データなど、社内システムの詳細を外部機関に渡すことについて、企業規模が大きくなるほどに抵抗感が高い」。そう話す田中氏は、日本企業とどう対話していくかを含め、ビジネスモデルの構築で奮闘中と明かす。
なお、6月9日から開催されるInterop 2014では、マンディアント創業者のケビン・マンディアン氏が基調講演に登壇予定だ。
