マカフィー、インシデント対応を効率化、自動化する「Active Response」を発売

阿久津良和 2016年01月29日 12時05分

  • このエントリーをはてなブックマークに追加

 マカフィーは1月28日、インシデントの検出、監視、対応を効率化する企業向けエンドポイントセキュリティ製品「McAfee Active Response」の国内提供を開始した。Windowsと主要Linuxディストリビューションに対応する。税別の参考価格は100ノードあたり83万7000円。

 同日開催された新製品説明会では、米Intel Security(マカフィーはIntel Securityの日本法人)が提唱する「Threat Defense Lifecycle(脅威対策のライフサイクル)」最適化と、McAfee Active Responseの機能が紹介された。

 同社のいうThreat Defense Lifecycleとは、脅威対策のサイクルを「Protect(防御)」「Detect(検知)」「Correct(復旧)」に分け、それぞれの段階で獲得したインテリジェンスを学習して改善を重ねることで、インシデント対応性能を進化させるという製品戦略だ。


マカフィー マーケティング本部 ソリューションマーケティング部 シニアプロダクトマーケティング スペシャリスト 中村穣氏

 最初に登壇したマカフィー マーケティング本部 ソリューションマーケティング部 シニアプロダクトマーケティング スペシャリスト 中村穣氏は、現状の脅威対策ライフサイクルについて、「情報が分散しているため検知完了までに時間を要する。さらに復旧完了も情報不足や手動操作が重なり合い、企業内のセキュリティ対策の現場では作業負荷の増加や人材不足が問題になっている」と説明した。この問題は日本に限らず、Intel Securityのグローバルの調査結果でも、データ収集に要する時間は1日8時間勤務とした場合、約2時間にもなるという。

 そこで必要となるのがライフサイクルの最適化だと中村氏は強調した。「例えば発見したマルウェアを組織内で解析し、結果を共有できればセキュリティベンダーが提供するシグネチャを待たなくてよい。また、これらの仕組みはサンドボックスを使えば決して難しくない」(中村氏)

 もう1つ重要なのが自動化と学習だと中村氏は語る。「脅威情報の素早い共有は、堅牢な防御壁の構築につながる。集約したログなどを活用して検知速度を高めると同時に、復旧時の一次対応を自動化すれば、さまざまなセキュリティ脅威に対応できる」(中村氏)


脅威対策ライフサイクルの自動化と効率化を行うことで、マルウェアが侵入した際のリスクが軽減するという

 次に登壇したIntel Security アドバンスドスレットディフェンス テクニカルディレクター Scott Tashler氏は、インシデント対応の課題について「時間と知識が足りない」と指摘した。例えばログ管理1つとってみても、LinuxのログファイルとWindowsのイベントログを同じように管理するのは難しく、インシデント対応時に現場に混乱をもたらす。また、インシデントに対応するために必要な知識がより難しく広範囲になり、セキュリティ担当者の負担になっている。これらの問題を解決するのがMcAfee Active Responseだという。


Intel Security アドバンスドスレットディフェンス テクニカルディレクター Scott Tashler氏

 McAfee Active Responseは、エンドポイントにエージェントをインストールしてコンテキスト情報(ファイル、ネットワークフロー、レジストリ、プロセスなど)を収集・常時監視し、攻撃の兆候を持つコンポーネントを検出した場合はその情報をセキュリティ担当者に自動的に送信する。

 攻撃イベントを検知すると、あらかじめ対応アクションなどを定義した「トリガー」に沿って、対応アクションを自動もしくは手動で実行する。同時に、エンドポイント側で攻撃イベントに関連するファイルの削除とプロセスの停止を自動的に行う仕組みだ。「トリガーは、出荷時に基本パターンを用意しているほか、セキュリティ担当者が自由にカスタマイズすることができる。企業の既存のシステムを連動させることも可能だ」とTashler氏は説明した。

 実際のデモンストレーションでは、社内にセキュリティ脅威を含んだファイルが存在するシナリオを想定し、ファイル名やハッシュ値を用いた検索と、トリガーに沿った自動リアクションの様子が披露された。あらかじめハッシュ値を元にファイルを削除するトリガーを設置すると、想定どおりファイルは自動的に削除された。また、異常な通信を行うパケットを検出するトリガーを有効にすると、そのクライアントPCは外部との接続が即座に遮断された。こちらはWindowsファイアウォールのルールを適用しているという。


ハッシュ値を元にファイルを削除するデモンストレーションを披露。ここでは手動で検索やリアクションを実行しているが、トリガーを作成すればすべて自動的に行われる

 あくまでもMcAfee Active Responseはインシデント対応の効率化を目指すソリューションのため、同社のセキュリティ製品との組み合わせを推奨している。監視機能や拡張性の向上が必要な場合は統合管理ソフトウェアの「McAfee ePolicy Orchestrator」、人的リソースの効率化のために更なる自動化をしたい場合はセキュリティ情報イベント管理(SIEM)の「McAfee Enterprise Security Manager」と組み合わせるとよいとTashler氏は自社製品をアピールした。同社の検証によれば、従来は脅威の痕跡発見からインシデント対応完了まで24時間を要していたが、McAfee Active Responseと関連製品で最適化した環境では約7分まで短縮されたという。


脅威の痕跡発見からインシデント対応完了まで

 McAfee Active Responseの運用には、Intel Xeon X5675以上のCPUと8GB以上のメモリ、120Gバイト以上のSSDを搭載した物理マシンもしくは仮想マシンに、McAfee ePolicy Orchestrator 5.1.1以降、McAfee Agenet 5.0以降、McAfee Data Exchange Layer 2.0.0.430以降のインフラが必要。クライアントOSはWindows 7/8.x/10(32/64ビット)、サーバOSはWindows Server、Windows Server 2008/2008 R2/2012/2012 R2、Red Hat Enterprise LinuxとCentOSをサポートする。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算