ファイア・アイのAPT防御、次の一手は「すごいインテリジェンス」

2014年06月16日 06時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　Interop Tokyo 2014のファイア・アイブースでは、従来の標的型攻撃／APT対策製品群に加えて、今年買収を発表したマンディアント（Mandiant）のエンドポイントセキュリティアプライアンス「FireEye HX」や、クラウド型の「脅威解析プラットフォーム」が紹介されていた。

エンドポイントセキュリティアプライアンス「FireEye HX」（下はFireEye NX）

　FireEye HX（旧称：Mandiant for Security Operations）は、エージェントが自動収集するエンドポイントのさまざまな挙動データから、セキュリティ侵害の兆候を示すIOC（Indicators of Compromise）に基づいて、APTなどの高度な攻撃を検知する製品だ（関連記事）。ファイア・アイが独自提供する脅威情報を利用するほか、不審なファイルはFireEye NXのサンドボックスを使ってさらに詳しく解析するなど、FireEyeの脅威対策プラットフォームに統合されており、同社プラットフォームの保護対象をエンドポイントにまで拡張する製品である。

　ファイア・アイブースのデモでは、検知された侵害内容を確認しながら、ほかのエンドポイントでも同じことが起きていないか（マルウェアが拡散していないか、など）を調査する様子が示された。

FireEye HXのエンドポイントセキュリティ概要

デモ画面

　もう1つ、マンディアントのソリューションとして追加されたのが「脅威解析プラットフォーム」（TAP：Thereat Analytics Platform）だ。　これはFireEye製品やファイアウォール、IDPなどのセキュリティログだけでなく、ネットワークログ、データベース、OS（Windows、UNIX、Linux）のログなど、広範で大量のイベントデータを収集し、リアルタイムの脅威情報に基づき一連のイベントデータから脅威を検知する。また膨大なログデータの高速な絞り込み検索や可視化の機能を通じて、詳細かつ正確な脅威内容の把握を支援する。「いわばSIEMのようなクラウドサービス」（ファイア・アイ説明員）。

脅威解析プラットフォーム（TAP）のダッシュボード画面

　ただし、これが単純な“SIEMサービス”ではない理由は、その背後にあるセキュリティインテリジェンスの強力さにあるという。アナリストチームは、NSAやCIA、DIA、軍の出身者、外交政策専門家など40名から構成されており、個々の攻撃だけでなく、その背景にあるサイバー犯罪集団、国家などの動向や“攻撃意図”までを読み解くインテリジェンスを常に蓄積しているという。「社内のわれわれですら詳しく教えてもらえないような情報も」（ファイア・アイ説明員）。

　APT攻撃に対しては、個々の攻撃内容とそれに対抗するテクノロジーもさることながら、その攻撃意図、意味を読み解くことがプロアクティブな対策にとって重要であるため、こうした強力なインテリジェンスチームを持っていることは大きいと、ファイア・アイは説明した。