提供:ファイア・アイ

脅威インテリジェンスにより「敵を知り」、有効性検証により「己を知る」。それがサイバー防御力強化のポイントだ。FireEyeは両方の分野で最前線からの知見を積み重ね、ソリューションを進化させている。その土台には、人とテクノロジーの相互作用がある。前編に引き続き、ファイア・アイ執行役副社長 日本法人CTOの岩間優仁氏に、サイバー攻撃者の先を行くプロアクティブな対策について話を聞いた。(聞き手:日経BP総合研究所 イノベーションICTラボ 上席研究員 大和田尚孝)

最新の脅威インテリジェンスをSaaSで提供

前編(【PR】サイバー攻撃「一歩先行く対策」が急務)でお聞きした脅威インテリジェンスは「敵を知る」、有効性検証は「己を知る」という位置づけですが、これらについてもう少しお聞きします。まず、脅威インテリジェンスですが、情報のソースにはさまざまなものがあると思います。

岩間:JPCERTやJC3のような機関から出される情報をはじめ、同業を含む他社との情報交換、FireEyeのようなセキュリティベンダーが提供する情報など、脅威インテリジェンスと言ってもさまざまなものがあります。こうした情報を積極的に取りに行く姿勢が重要です。受け身で待っていても情報は入ってきませんし、気づいたときには「時すでに遅し」ということになりかねません。

ファイア・アイ 執行役 副社長 日本法人CTO 岩間 優仁氏

FireEyeの脅威情報提供サービスについてご説明ください。

岩間:FireEyeはテクノロジーだけでなく、高度な知識と経験を持つエキスパートによる専門的なサービスも提供しています。人の力とテクノロジーの力、両方の相互作用によって他にはない価値を生み出しているわけですが、その源泉とも言えるのが脅威インテリジェンスです。

 国家主導型攻撃グループの名称「APT」の名付け親としても知られるFireEyeでは、世界中で1100人ものアナリストとリサーチャーが、常時1600以上もの攻撃グループを追跡しています。そこから得られる膨大な情報に人の知見を組み合わせることで、他とは一線を画す広さと深さを誇る脅威情報を提供しており、おかげさまで、先日発表された米調査会社Forrester社のレポート「The Forrester Wave: 外部脅威インテリジェンス・サービス(2021年第1四半期)」においてもリーダーに選出されました。しかし、その高度さと質の高さゆえに、従来は政府機関や一部の企業・団体といったお客さまにレポートなどを通じて提供することが中心で、「敷居が高い」という声をいただくこともありました。そこで、利用する方の立場や目的に応じて、切り口の異なるメニューをご用意するなどサービス体系を見直し、併せて簡便な形で情報を届けられるようなプラットフォームづくりを進めてきました。こうして生まれたのが、脅威インテリジェンスをはじめ、各種サービスソリューション群を提供するSaaSプラットフォーム「Mandiant Advantage」です。

SaaSであれば、敷居は相当低くなりそうです。

岩間:その点を強く意識しました。私たちがこれまで門外不出としてきた情報を含め、膨大かつ最新の脅威インテリジェンスをリアルタイムで活用することができるようになります。例えば、同業他社での侵害のニュースをきっかけに、その攻撃の背景や手法を確認し、自組織への影響の可能性を判断したうえで必要な対応を図る、といった使い方が想定されます。膨大な脆弱性情報を受け取る企業にとって、重要度やリスクに応じた対応が重要と述べましたが(※前編参照)、Mandiant Advantage脅威インテリジェンスは、優先度を判断して適切な対応につなげるためのツールにもなります。すでに多くのお客さまにご活用いただいていますが、無償で体験できる「お試し」のメニューも用意しましたので、まずはご登録いただき、どのような情報にアクセスできるのかを確認いただければと思います。

有効性検証については、どのようなソリューションを提供しているのですか。

岩間:まず、以前から提供している「レッドチーム攻撃診断」というサービスがあります。同業他社などで実際に起きた侵害ケースを踏まえて、同じ攻撃手法や手順を用いて実際に疑似攻撃を実施するもので、導入されているセキュリティ対策が検知するかどうかから、人的な侵害対応体制まで、セキュリティ体制を包括的に評価することを目的とします。しかし経験豊富な人材を投入して行う実務的な演習であるため、多くの時間と費用、そして手間がかかります。レッドチームは、主に侵害対応体制の有効性検証という観点から非常に有効ですが、年に何回も実施するようなものではありません。一方で、攻撃に使われる技術やツールは日々変化し、新たな脆弱性が明らかになるなど進化する中で、システムの導入や設定変更なども含め、セキュリティ対策自体も変化しています。攻撃と防御、それら双方の変化がどのようにセキュリティ体制に影響を及ぼすかについて、定期的、または継続的にその有効性を検証するためにはどうすべきか。この課題への回答としてFireEyeが提供しているのが「Mandiant Security Validation」です。

Mandiant Security Validationについて詳しくご説明ください。

岩間:ひとことで言えば、「レッドチーム攻撃診断」をシステマチックに定期的、継続的に行うことができるソリューションです。Mandiant Security Validationは、最近国内でも注目の高まっている「MITRE ATT&CK(R)フレームワーク」などを取り入れ、実際に起きた/起こり得る攻撃手法を用いてテストを実施するものです。シミュレーションではなく、実際のサイバー攻撃手法や戦術などを用いてテストを行うことで、攻撃を受ける可能性のあるシステムやツール、設定ミスなどによる抜け穴などを、実際に攻撃を受けてしまう前に特定して改善することができます。導入しているセキュリティ対策の有効性を可視化することもできますので、コストの最適化や経営層へのレポート、戦略策定にも役立つでしょう。

続きを読む 2/3 海外拠点を踏み台に本社への侵入が狙われる

この記事はシリーズ「提言、ビジョン・新時代」に収容されています。WATCHすると、トップページやマイページで新たな記事の配信が確認できるほか、スマートフォン向けアプリでも記事更新の通知を受け取ることができます。