McAfee FOCUS USA 2014

その振る舞いは攻撃か--情報共有とコンテキストの理解でウイルス侵入を防御 - (page 2)

鈴木恭子

2014-11-06 07:15

なぜセキュリティ情報共有プラットフォームが必要なのか

 今回のキーノートでは、「Security Connected」戦略の核となるTIEが詳説された。

 TIEは、環境適応型のリアルタイム脅威防御ソリューションだ。セキュリティデータを、複数のセキュリティ製品で監視/分析する。あるエンドポイントでセキュリティ脅威を検出すると、ほぼリアルタイムで情報を共有し、TIE内にあるほかのエンドポイントの接続を自動的に遮断する。同社によると、従来はこうした適応型脅威防御は日数~月数単位での時間を要していたが、TIEを利用すれば時間をミリ秒単位に短縮できるという。

 またFey氏はTIEの優位性として、エンドポイントのパフォーマンスにインパクトを与えない点を強調する。


TIEを核とした環境適応型のリアルタイム脅威防御ソリューション(概念図)

 エンドポイントにはエージェントをインストールする。そして、エンドポイント側で疑わしい振る舞いのあるファイルがあれば、中央集約リポジトリの役割果たすTIE(サーバ)と通信し、ファイルのサンプルを「Inspection(Location)」に送信する。Inspectionでは送られてきたファイルに対し、sandboxやウイルス検知/防御機能を提供する「Advanced Threat Defense」、さらにサードパーティ製のウイルス検知ツールを使って監視、分析する。

 分析結果はTIE(サーバ)に格納され、ウイルスの「チェックリスト」と照合される。もし、チェックリストに脅威として登録されていれば、TIEがエンドポイントのエージェントに対してインストールの中止を指示し、隔離する。こうした情報はすべてTIE(サーバ)に蓄積されるという。なお、TIEとのそのほかのソリューションを連携させる「Data Exchange Layer」は、オープンフレームワークとして設計されている。そのため企業が持つ既存のセキュリティコンポーネントとの連携も可能となるという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]