ラック、日本特有のセキュリティ脅威情報を提供--検出能力の向上へ

國谷武史 (編集部)

2018-07-12 17:17

 ラックは7月12日、日本に特有のセキュリティ脅威情報を企業や組織に提供する新サービス「JLIST」を発表した。セキュリティ製品メーカーが提供する世界向けの脅威情報だけではサイバー攻撃などをあまり検出できない実態があるといい、新サービスを8月1日から提供する。

 新サービスは、「Indicator of Compromise(IoC)」と呼ばれる不正プログラムやファイルの特徴、マルウェアが接続する攻撃者のコマンド&コントロールサーバや攻撃サイト(詐欺サイトやマルウェア配信サイト)などの脅威に関するさまざまな指標の情報を、APIなどを通じて配信する。サービスに対応するセキュリティ製品では、メーカーが提供する脅威情報にJLISTの情報を加えて、サイバー攻撃などの検出能力を強化できる。

「JLIST」サービスの特徴
「JLIST」サービスの特徴

 一般的にセキュリティ製品の多くは、シグネチャ(定義ファイル)に基づいて脅威を検出する。シグネチャの内容は、不正なプログラムや通信の特徴を解析して作成されるが、現在のサイバー攻撃は複数の手法を組み合わせて段階的に実行されるため、シグネチャでは脅威の“断片”しか検出できず、シグネチャがなければ検出自体ができない。

 このため、最近では脅威の全体的な構造を分析し、その結果をIoCなどの形で検出に利用する「スレットインテリジェンス」と呼ばれる方法が広まりつつあり、セキュリティ製品メーカーの多くが独自のスレットインテリジェンスサービスの強化に取り組んでいる。スレットインテリジェンスでは、分析に必要な脅威動向の収集能力、精度の高い分析を行う知見やノウハウと経験、製品で脅威を実際に検出、防御できるようにする技術力などが求められる。

 記者会見したセキュリティソリューションビジネス部 グループリーダーの長谷川真也氏は、日本でスレットインテリジェンスを利用する課題に、(1)日本特有の脅威への対応、(2)脅威情報の精度――の2つを挙げた。(1)では、セキュリティ製品の多くを海外メーカーが開発し、ユーザーも世界中にいるため、脅威動向の収集という面では広域をカバーできるが、地域特有の状況を深く把握するのが難しい。(2)では、メーカーの人員規模に限界があり、脅威動向の収集や分析をプログラムやツールで自動化していることから、悪性/正常の判定精度に多少の不正確さが残ってしまう点だという。

 ラックでは、「JSOC」と呼ばれる施設で国内約900社のセキュリティ監視をさまざまなメーカーの2500台以上の機器で行っている。脅威の検出には、メーカーが開発、提供するシグネチャに加え、同社が独自開発する「JSIG」を併用している。JSOCセンター長の賀川亮氏によれば、2017年度にJSOCが検出したマルウェアのうち、51%はメーカーの検出ルールによるものだったが、46%はJSIGのみで検出された。メーカーの検出ルールだけでは、半数のマルウェアを見逃していた可能性があるという。

ラックが検出するマルウェアの半数が独自シグネチャだけで見つかっている。メーカー製の情報だけでは十分に検出できない実態があるという
ラックが検出するマルウェアの半数が独自シグネチャだけで見つかっている。メーカー製の情報だけでは十分に検出できない実態があるという

 JSIGは基本的にJSOCのユーザーしか利用できないため、長谷川氏は、より多くの国内企業や組織がスレットインテリジェンスを利用できるようにする目的でJLISTを開発したと説明する。JSIGよりも多くの内容の情報を高頻度(1日一回以上)に提供することから、同社ではスレットインテリジェンスの中核業務を担う「ACTRセンター」を新設し、先端技術の研究開発を手掛ける「サイバー・グリッド・ジャパン 次世代技術開発センター」も加わる。同社のサイバーセキュリティ事業関連部門の総力を挙げた新サービスと位置付ける。

以前から提供する独自シグネチャサービスと新サービスの違い
以前から提供する独自シグネチャサービスと新サービスの違い

 セキュリティ製品がJLISTに対応するには、メーカーやシステムインテグレーターなどの協力が必要といい、同社では30社程度のパートナー参加を見込む。製品が対応すれば、ユーザーはJLISTの情報を取り込むだけで脅威の防御に活用できる。まず、パロアルトネットワークスの次世代ファイアウォール製品がJLIST情報による検出に対応し、2018年度下期にマカフィーの不正侵入防御(IPS)製品への対応を予定。2019年度上期にスプランクとアカマイのセキュリティサービスや機能にも対応し、将来的にはスレットインテリジェンスの世界共通の記述ルールとなるSTIX(脅威情報構造化記述形式)やTAXII(検出指標情報自動交換手順)に対応するほか、連携製品の拡大を図る。

情報提供サービスながら製品が対応するための開発も伴うため、同社のセキュリティ監視、脅威分析、先端技術開発の各部門の総力を結集している
情報提供サービスながら製品が対応するための開発も伴うため、同社のセキュリティ監視、脅威分析、先端技術開発の各部門の総力を結集している

 情報は直接販売とパートナー経由の間接販売で提供され、サービス利用料はセキュリティ製品1つにつき年間40万円程度を想定。同社では3年後に年間3億円程度の売り上げを見込んでいる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]