マカフィーは7月28日、セキュリティ脅威を事前把握してプロアクティブな対策を可能にする新製品「McAfee MVISON Insights」の国内提供を発表した。
セールスエンジニアリング本部 本部長の櫻井秀光氏は、まず背景となる最新の脅威動向について説明。「最大の脅威は標的型攻撃。ランサムウェアの被害も依然として多い」といい、単純にデータを暗号化するだけではなく、感染させたランサムウェアを通じて機密情報を盗み出した上で、暗号化だけでは支払いに至らなかったときにはその機密情報を使ってさらに強請するという「二段階化」が見られると指摘した。
また、OS標準のスクリプトエンジンなどを悪用する「ファイルレスマルウェア」に関しては、「以前に予測した増加ペースとは桁が違うレベルで急増している」といい、具体的には2020年第1四半期の観測数は前年同期と比べて60倍強に達したという。
これらの高度な攻撃手法にどう対処するかについて、市場では数年前からEDR(Endpoint Detection and Response:エンドポイントの脅威検知とレスポンス)が注目されている。同氏は「EDRを否定はしない」としつつも、EDRの導入以前にやるべきことがあると指摘する。その前提として紹介したのが、1999年にWinn Schwartau氏が提案したセキュリティの防御システムの定量評価手法である「Time-Based Security」だ。
これは、「防御時間」が「検知時間」と「対応時間」の和よりも大きい状態を維持できていれば「防御システムが有効だと判断できる」というものになる。同氏は「20年以上前に提唱されたコンセプトだが、現在でも通用する」とした。ここで言う防御時間とは「侵入が成功した後、情報搾取などの“目的達成”に成功するまでに要する時間」で、検知時間は「侵入成功後、防御側が侵入されたことに気付くまでの時間」、対応時間は「侵入に対して適切な対処を完了するまでの時間」となる。

※クリックすると拡大画像が見られます
言い換えると「マルウェア等の侵入を許したとしても、情報が盗み出される前に阻止できれば問題ない」という考え方だと言える。そして、防御側の取り組みとしては「防御時間を長くする」「検知時間と対応時間を短くする」という2通りの方向性があるという。
そして同氏は、侵入されることを前提に、侵入されたことにいち早く気付くためのソリューションとしてEDRが有効なのは確かだが、EDRの導入以前にまずはエンドポイントセキュリティ製品が備える機能を正しく使いこなせているのかどうかの確認などを行い、「超えるべき壁を高くする」ことが重要だと指摘する。そうした対策をきちんと行ってから、次の段階としてEDRを検討すべきだという提案になる。

※クリックすると拡大画像が見られます
さらに同氏は、「EDRは使うのが簡単な製品とは言えない」として、調査機能の自動化機能を備える同社のEDRなど、使いやすさに配慮した製品の導入を検討すべきだとも指摘している。
このように、EDRが有効だとしても使いこなすのが難しいという現状を踏まえて、EDRよりもさらにプロアクティブに対応できる防御ソリューションとして投入されるのがMVISION Insightsとなる。EDRが実際に内部に侵入された痕跡を発見する、いわば「侵入されてから機能する製品」であるのに対し、MVISION Insightsは「侵入される前に対処する」ための製品となる。ここで活用されるのが、同社製品をインストールしたエンドポイントなどをセンサーとして活用して収集された「脅威インテリジェンス」の情報だ。

※クリックすると拡大画像が見られます
グローバルに流行し始めた最新の攻撃手法などの情報を分析し、そうした攻撃が今後到来すると想定して対策を講じる、という考え方であり、以前から提供されている脅威インテリジェンスのサービスをパッケージ化/自動化して提供するものだと考えることもできそうだ。さらに、EDRと連携して最新の攻撃手法で使われた検体が既に内部に入り込んでいないかを調査するなど、「攻撃が実際に行われる前に攻撃手法を予測して守りを固める」ための機能になる。

※クリックすると拡大画像が見られます
MVISION Insightは単品でのライセンスも用意されるが、「MVISION Protect Plus EDR for Endpoint(MV6)」、EDRのログを90日保存可能な上位版ライセンスであるMV7に「追加費用なし」で提供され、利用可能となる。

※クリックすると拡大画像が見られます