米ヒューレット・パッカードは10月6日(米国時間)、同社が設立したセキュリティ情報共有のためのアライアンスに、日立製作所が加わったと発表した。また、このインテリジェンスを活用した新セキュリティソリューションの国内提供も開始している。
サイバー脅威情報をリアルタイムに共有するグローバルコミュニティ
HP Global Threat Intelligence Allianceは、HP Security Researchが設立した、セキュリティ情報(脅威インテリジェンス)をグローバルに共有するためのオープンコミュニティ。セキュリティインテリジェンスプロバイダーや一般企業/組織が加盟し、サイバー攻撃に関するグローバルな情報を提供/共有することで、脅威の全体像や攻撃者の狙いを浮き彫りにし、脅威への効果的な対応を支援する。
インテリジェンスプロバイダーとしては、今回の日立のほか、たとえばエイリアンボールトやクラウドストライクなどが加盟している(ほか詳細は未公開)。また加盟した一般企業には、これらのセキュリティアナリストによる未公開の脅威情報や、サイバー犯罪組織に対する分析情報、サイバー犯罪者のプロファイルなども提供される。
こうした脅威インテリジェンスの共有は、「HP Threat Central」プラットフォームを通じて行われる。収集した情報の共有や文脈分析は自動化されており、その情報は「STIX(Structured Threat Information eXpression)」や「TAXII(Trusted Automated eXchange of Indicator Information)」といった標準化された情報交換言語/手順を使ってAPIやWebサイト経由で共有される。“匿名”で情報共有することも可能だ。
今回、日立では同アライアンスに加盟し、日本地域を中心としたサイバー脅威情報の提供を通じて「社会全体のサイバーセキュリティレベル向上に貢献していく」(HP発表文より)と述べている。
攻撃者を理解し、攻撃に打ち勝つためには組織間の連携が必要
10月7日に日本ヒューレット・パッカードで開催された説明会では、米HP ArcSight部門のチャールズ・スターナー氏がこのアライアンスの取り組みを説明した。
スターナー氏は、サイバー攻撃が犯罪組織や国家などを背景に実行されるようになった現状においては、防御する側も企業/組織間や業界内での情報共有を強化していかなければ対抗できないと、この情報共有コミュニティの意義を説明する。
「攻撃者を打ち負かすために、われわれが唯一できることは『攻撃者を理解すること』だ。そのためには、組織や業種の枠組みを超えて互いに協力しなければならない」(スターナー氏)
たとえば、企業が自社内から不審な宛先への通信が発生しているのを発見した際に、コミュニティに問い合わせることで、ほかの組織でも発生している攻撃かどうかを知ることができる。「サイロ化した(自社だけの)情報ではなく、大きなコミュニティでの情報を参照できる」(スターナー氏)。
セキュリティインテリジェンス製品も機能強化
さらに今回、HPは「HP DNS Malware Analytics(HP DMA)」ソリューションも国内発表した。これは、自社内のDNSトラフィックログを継続的に監視し、マルウェアに感染したサーバーやPC、モバイルデバイスを迅速に特定するもの。同社のSIEM「HP ArcSight SIEM」と統合されている。
具体的には、マルウェアが攻撃者のサーバー(C&Cサーバー)と通信する際に生じるDNSトラフィックを検出することで、マルウェア感染を検知する。シグネチャベースではなく機械学習エンジンを使用しているため、未知のマルウェアが検出可能であり、誤検知も大幅に削減できるという。
加えて、アプリケーション開発時のセキュリティテストを提供するサービス「HP Fortify on Demand」において、機械学習によりセキュリティテストの精度と効率を向上させる「Fortify scan analytics」も発表している。