パロアルトネットワークスは10月13日、サイバー脅威情報の相関データを実用化したクラウドサービス「AutoFocus」と、SaaSをセキュアに運用するための管理サービス「Aperture」の提供を発表した。AutoFocusはサブスクリプションモデルで、販売パートナー経由で販売し、価格はオープン。Apertureは北米で先行発売し、2016年前半に日本でも提供を開始する。
サイバー脅威情報の相関データを提供するクラウドサービス
AutoFocusは、世界中から集めたサイバー脅威情報の相関データを提供するSaaS。統計や専門家の知見から導き出した「対応すべき優先度を付与したサイバー情報」を見られるデータベースをSaaSで提供する。「ユーザーとしてセキュリティオペレーションセンター(SOC)や、セキュリティサービスの提供者を想定している」(技術本部長 乙部 幸一朗氏)
この相関データは、マルウェア分析クラウドサービス「WildFire」の情報やパロアルトネットワークスの脅威リサーチチームが持つ調査結果、Autofocusユーザーからの情報をベースにしているとした。
技術本部長 乙部 幸一朗氏
数多くのアラートを参照しながら、サイバー攻撃から身を守るために必要な情報をユーザーに提供する。攻撃の痕跡を分析し、対応策と結び付けて予防策を講じると説明している。
AutoFocusのダッシュボードでは、特定の業界がサイバー攻撃の標的になっているかがわかるほか、攻撃内容や敵対者、組織的攻撃に関する背景情報について把握できる。攻撃者と敵対者との関連付けや、一般的なマルウェアと標的型マルウェアを区別して紹介する。攻撃の発信元をたどり、条件がそろえば攻撃を加えた人や団体を特定できるとした。
同社は4月に日本の製造業を対象にしたサーバ攻撃が中国に拠点を持つとみられる犯罪者集団「DragonOK」のものであると特定したが、これはAutoFocusで攻撃パターンや発信元を分析できたためと説明している。
AutoFocusの提供背景としてセキュリティ情報イベント管理(Security Information and Event Management:SIEM)などでは、セキュリティデバイスからのデータや通知が膨大となる点を挙げた。これらの情報からは何が有用で対処すべき情報か、コンテキストや、対策に必要な詳細情報を選り分けるのは難しく、かつ固有の標的型攻撃は識別しづらいと指摘。担当者が実用的なセキュリティ情報へ即座にアクセスできるようにするために開発したという。
SaaSをセキュアに運用するための管理サービス
SaaSをセキュアに運用するための管理サービスApertureは現在、ユーザーが多いBoxやDropbox、Google Drive、Salesforce、GitHub、Yammerなどで利用でき、現在、Office365での利用を目指している。米国での提供開始を発表したが、2016年前半に日本でも提供を開始する。
Apertureで顧客のSaaSアプリケーションにAPI経由で接続し、ハッシュと.exeファイルをWildFireに送信すると、キーワードや正規表現に加え、PCIなどデータの分類子に基づくコンテンツ検査ができる。違反があった場合、管理者がユーザーに通知し、検疫などの処置ができるようにするためリスクが軽減できるとした。
Apertureは5月にPalo Alto Networksが買収したCirroSecureの技術をベースとしている。データのリスクやコンプライアンスに関連したポリシー違反を発見し、ユーザーやデバイスでのSaaSの利用状況や分析ができる。Apertureは細かいポリシー制御だけでなく、SaaSアプリケーションがマルウェアの侵入口となることを防ぐため、WildFireと連携、マルウェアを識別できる機能を持つ。
Apertureの主要機能として「ユーザー、フォルダ、ファイルの操作の可視化」「データやリスクの分析と制御」「SaaSアプリケーションのデータを分類し、データリスクやコンプライアンス関連のポリシー違反があるかの判定」などを挙げた。
SaaS利用は機密データをクラウドに保存することを意味する。SaaS提供会社のシステムがマルウェアに感染する可能性や、悪意のあるユーザーが機密ファイルをアップロードすることによる情報漏えいといった、リスクが発生していると説明する。SaaS利用が進む米国では特に機密ファイルを従業員が漏えいするリスクがあると考える企業からの引き合いが強いという。一般に、SaaS提供会社は、従業員の情報漏えいに対しての責任を負いきれないからと考えられる。SaaSにもセキュリティポリシーを適応して可視化と制御が必要不可欠であると強調していた。
SaaSのリスク
