スレットインテリジェントセンターは、ネットワーク内にある複数のセキュリティ機器のアラートなどのイベント情報を集約し、関連性を考慮した上で実戦的な情報をレポートなどの形で提供する。セキュリティアップデートサーバは検出した、企業などに侵入した不正プログラムに指示を送るための“C&Cサーバ”の情報を「カスタムCCCA」というブラックリストとして作成し、各製品に配布しアップデートする。
同社は、新たな脅威検索エンジン「ATSE」を既存製品に実装する。これにより、脆弱性を悪用されたファイルを検出できる。検知の段階では、メールゲートウェイ製品やウェブゲートウェイ製品のATSEで検知される。分析の段階では、不審なファイルをDDAのバーチャル・アナライザで動的に解析し、悪影響を及ぼすものであると判明した場合は、適用の段階となり、その情報を各製品に送りブロックするとともに、カスタムCCCAとしてデータベースに登録する。
C&Cサーバへの不正な通信に対しては、各ポイントで検知する技術「CCCAサービス」をメールゲートウェイやウェブゲートウェイ、ネットワーク監視に実装する。同様に、検知と分析の段階を経て、適用の段階で遮断される。
従来の対策は「点」での対策であり、駆除しても再び不正プログラムが検知されたり、すでに入り込んでいる脅威に対応することができない。しかし、脅威の相関関係を洗い出すことで、脅威を「線」で把握でき、新たな脅威や潜伏している脅威にも対応できるという。
最後の対処の段階は、相関性の洗い出しや根本的な対策となるが、この部分は「知見を有する人」が重要になると大田原氏は説明。そのために同社では、導入を支援する「プロフェッショナルサービス」、運用を支援する「トレンドマイクロ プレミアムサポート」も提供する。
大田原氏は、カスタムディフェンスのメリットとして「可視化だけでなく高精度なブロックにより、被害が拡大する前に先手対策が打てる」「仮想解析システムによって解析依頼の手順、時間を大幅に短縮、削減できる」「高度なテクノロジだけでなく、専門家による技術的な支援で将来にわたり安心運用が可能」の3つを挙げた。
(提供:トレンドマイクロ)
変わり続ける標的型攻撃
同社セキュリティエバンジェリストである染谷征良氏は、最近の標的型攻撃の傾向に触れ、ソーシャルエンジニアリングの手法を活用することに変化はないが、企業などへの侵入方法には変化が見られたと説明した。2012年の上半期は文書アプリケーションの脆弱性を悪用するものが70%だったのが、下半期は実行ファイルが70%を占めた。
