なぜセキュリティ情報共有プラットフォームが必要なのか
今回のキーノートでは、「Security Connected」戦略の核となるTIEが詳説された。
TIEは、環境適応型のリアルタイム脅威防御ソリューションだ。セキュリティデータを、複数のセキュリティ製品で監視/分析する。あるエンドポイントでセキュリティ脅威を検出すると、ほぼリアルタイムで情報を共有し、TIE内にあるほかのエンドポイントの接続を自動的に遮断する。同社によると、従来はこうした適応型脅威防御は日数~月数単位での時間を要していたが、TIEを利用すれば時間をミリ秒単位に短縮できるという。
またFey氏はTIEの優位性として、エンドポイントのパフォーマンスにインパクトを与えない点を強調する。
TIEを核とした環境適応型のリアルタイム脅威防御ソリューション(概念図)
エンドポイントにはエージェントをインストールする。そして、エンドポイント側で疑わしい振る舞いのあるファイルがあれば、中央集約リポジトリの役割果たすTIE(サーバ)と通信し、ファイルのサンプルを「Inspection(Location)」に送信する。Inspectionでは送られてきたファイルに対し、sandboxやウイルス検知/防御機能を提供する「Advanced Threat Defense」、さらにサードパーティ製のウイルス検知ツールを使って監視、分析する。
分析結果はTIE(サーバ)に格納され、ウイルスの「チェックリスト」と照合される。もし、チェックリストに脅威として登録されていれば、TIEがエンドポイントのエージェントに対してインストールの中止を指示し、隔離する。こうした情報はすべてTIE(サーバ)に蓄積されるという。なお、TIEとのそのほかのソリューションを連携させる「Data Exchange Layer」は、オープンフレームワークとして設計されている。そのため企業が持つ既存のセキュリティコンポーネントとの連携も可能となるという。