自動学習でセキュリティ担当者の負担を減らす「McAfee Active Response」

　マカフィー株式会社は28日、近年活発化している企業へのサイバーアタックなどの脅威対策として、従来よりも堅牢な防御や高速検知および対策を可能とするセキュリティサービス「McAfee Active Response」の日本での提供開始を発表した。

マカフィー株式会社 マーケティング本部 ソリューション・マーケティング部 シニアプロダクトマーケティングスペシャリストの中村穣氏

　同サービスの内容に関して、マカフィーは説明会を開催し、その導入メリットや仕組みについて解説を行なった。まず、同社マーケティング本部 ソリューション・マーケティング部 シニアプロダクトマーケティングスペシャリストの中村穣氏が登壇し、今日のサイバーアタックが非常に巧妙化しており、実際に侵入されてからその攻撃に気付くまで数週間から数カ月要してしまい被害が拡大してしまう場合があること、高度なスキルを持ったセキュリティ担当者やセキュリティ担当者そのものの数が限られ、少ないリソースで対策を行なわなければならないという、多くの企業が直面している課題について指摘した。

企業のセキュリティ対策への課題

脅威対策への現在の傾向

　中村氏は、場当たり的な対応を余儀なくされる現場のセキュリティ担当者に対し、脅威対策のサイクルである「防御」、「検知」、「復旧」を最適化するソリューションとして、今回の「McAfee Active Response」の説明に入った。

　McAfee Active Responseは、それ単体で完結するものではなく、同社のEndpoint Protectionといったセキュリティ対策ソフトを強化する形で利用するもので、SIEM(Security Information and Event Management)と連携して分析などに役立てる。

「McAfee Active Response」の特徴

　「防御」面においては組織内でマルウェアなどの脅威の解析を行ない即座にその内容を共有、「検知」のシーンではこれまでのログを集約し、事例を組み合わせて確度の高い検知を行ない、「復旧」では防御機能を活用した自動的な隔離が行なえる。これまでは防御において定義ファイルのシグネチャを待つ必要があり、検知についても分散しているログを確認する必要があった。復旧に至っては、該当デバイスのLAN機能を物理的にオフにするなど、手作業を必要としていたが、McAfee Active Responseを活用することでインシデントに費やされる時間を大幅に節約できるようになる。

現状の対策方法に対して……

「McAfee Active Response」で最適化

　中村氏は、マルウェアが仕込まれたメールを受信した際に、定義ファイル等の情報がなかったり、検査が完了する前にユーザーが実行してしまった場合でも、そのソフトウェア(マルウェア)がどのような挙動――特定のIPアドレスに通信を行なうなど――を示すか監視を行ない、過去に発生したインシデントのログなどとの照合し、既に感染済みの端末にはEndpoint Protectionなどからマルウェアの削除を実行して、未感染の端末には実行できないようにするといった自動化処置を施せると説明。こういった処置を元にソフトウェアが自動的に学習を進め、さらなるセキュリティの強化と効率化を図っていくという。

McAfee Active Responseにおける、マルウェアに感染した場合のセキュリティシステムの挙動

感染から1日掛かる処置が7分足らずで完了する

米Intel Security アドバンスドスレットディフェンス テクニカルディレクターのスコット・タシュラー氏

　米Intel Security アドバンスドスレットディフェンス テクニカルディレクターのスコット・タシュラー氏は、企業のセキュリティ担当者と言えど、十分にスキルを持っている人は少ないし、そういった人材を増やすにもコストが掛かる。限られた予算で迅速で確実性のある対策を施すための手段として、McAfee Active Responseの有効性を説く。

　また、タシュラー氏は同サービスについて、ユーザー側でカスタマイズできることも特徴としており、セキュリティソフトの定義ファイルアップデートを待たずとも自ら対応できる柔軟さを備えていることも強調。既に利用している検索機能に追加する形で運用できること、自然言語を利用して設定が行なえるのでスキルが低くても使用可能といった、導入への障害の少なさも合わせて述べた。

インシデント発生時にかかる作業のランキング

インシデントへの対応には時間とスキルを必要とする

「McAfee Active Response」の主な機能

　そして、従来の統一性のないセキュリティシステムでは、実際に攻撃を受けてから防御に徹するまで約4時間、検知ファイル入手し最終的な安全確保に至るまで約24時間要していたのに対し、McAfee Active Responseでは1分で防御を開始し、7分以内には全端末でのセキュリティを確保できると述べ、ユーザーがセキュリティインシデントにかける労力や時間を大幅に短縮できるとした。

従来の対応

McAfee Active Responseの対応

対応に要する時間の比較

　実際にMcAfee Active Responseのデモンストレーションが披露され、検索窓を使って自然言語で条件記述を行ない、ハッシュやIPアドレスの割り出しや、どの端末がマルウェアと見なされたファイルを実行したかなどを表示して見せた。マルウェアがダウンロードされた時間以降で何が発生したかなども調べることができる。また、マルウェアの中には自分自身を削除して痕跡をなくすものもあるが、McAfee Active Responseであれば、削除した痕跡も探すことができる。さらに、逆に罠を張り、特定のネットワーク通信やプロセスが走った場合は、ダウンロードをトリガーにして対応処置を仕掛けるといったことも可能としている。

McAfee Active Responseの画面。「大切なお知らせ.pdf」を持っている端末を検索している。自然言語(英語)が使われていることが分かる

ハッシュを使った検索も可能

該当ファイルを持っている端末をネットワークから外すために、McAfee Active Response側からリアクションを送る

pingコマンドを使ってロックされたことを確認

ダッシュボードでこれまでの発生したイベントを簡単に確認できる

　中村氏は最後に、セキュリティのスペシャリストに頼るだけでは対応できる企業も限られることから、McAfee Active Responseを通してセキュリティのライフサイクル自動化を進めるとともに、運用者の負担を減らせられればと、現場担当者にアピールを述べた。

McAfee Active Responseによる支援サービス