menu
マガジン [ Magazine ]

ゼロデイ攻撃を検知するサイバー攻撃対策ソリューション

[2016.09.08]

ファイア・アイ

 


ゼロデイ攻撃や標的型攻撃も検知できる
中堅企業向けサイバー攻撃対策ソリューション

 


ゼロデイ攻撃や標的型攻撃などのサイバー攻撃による被害は後を絶たない。先般もサイバー攻撃によって、大手旅行会社が顧客情報を流出させられる被害があった。たとえセキュリティ製品を導入していても、高度なサイバー攻撃は検知をすり抜けてしまうのが現状だ。既存のセキュリティ対策のどこに問題があるのか。すり抜けを抑えて企業の資産を守るセキュリティ製品を提供するファイア・アイ 執行役 副社長の岩間優仁氏に話を聞いた。

 


従来のセキュリティ製品では
約8割の攻撃は検知できない


従来のアンチウイルスソフトなどはパターンマッチング方式によってウイルスを検知していた。しかし、昨今の高度なサイバー攻撃は、パターンマッチング方式では検知できない状況となっている。ファイア・アイ 執行役 副社長の岩間優仁氏は「従来までのパターンマッチング方式は、既知の脅威情報をもとに作成したシグネチャーを利用して、マルウェアやウイルスの検知を行っているため、あらかじめ脅威情報を知っていないと検知や防御ができません。ゼロデイ攻撃などのサイバー攻撃で使用されるマルウェアやウイルスは未知の脅威です。そのため、パターンマッチング方式のシグネチャーでは検知できないのです」と話す。

“ハイエンド向けの製品と同様の検知技術を搭載し、サイバー攻撃に対応します”

ファイア・アイ
執行役
副社長
岩間優仁 氏

2013年度前半まではシグネチャーによって約9割のマルウェアやウイルスが検知できていたが、2016年の上半期にはシグネチャーで検知できる攻撃の割合は減少し、約8割は検知できない攻撃になっていると岩間氏は説明する。そのため、シグネチャーによる検知をすり抜ける高度なサイバー攻撃への対応が企業には求められるが、それらを実現するセキュリティ製品はハイエンドなものが多く、中堅企業が導入するにはコストがかかりすぎてしまうのが実情だ。

 


検知・防御の2段階の仕組みを採用した
ハイエンド向けの検知技術を搭載


ファイア・アイは、高度なサイバー攻撃を検知・防御し、セキュリティ侵害リスクを最小限に抑えられるセキュリティ・ソリューション「FireEye Network Security Essentials」を中堅企業向けに提供している。本製品は、ハイエンド向けのWeb対策製品と同様の検知技術を搭載しながら価格を抑え、中堅企業も導入しやすくした。岩間氏は、「従来の攻撃対象は、国の事業などを担う大企業でしたが、攻撃対象の裾野が中堅企業にまで広がってきているため、機能は同じままで価格を下げて提供することにしました」と中堅企業への提供を開始した背景を語る。


本製品は、Phase1とPhase2の2段階でウイルスを検知する。Phase1は、従来のシグネチャーによって、既知のマルウェアやウイルスを検知し防御する。Phase1をすり抜けた高度な攻撃をPhase2で検知・防御する仕組みだ。検知を2段階で行うことにより、検知効率を高めて既知や未知の攻撃も見逃さずに発見し、サイバー攻撃などから企業の資産を守る。


高度なサイバー攻撃の検知に対応するPhase2では、1台のFireEye Network Security Essentialsの中に、仮想環境を構築する。検知技術の核となるのは「FireEye Multi-Vector Virtual Executionエンジン」(以下、MVXエンジン)だ。仮想環境でWebトラフィックを解析し、既知のマルウェアや未知のゼロデイ攻撃、マルウェアの実行可能ファイルなどを検知する。仮想環境では、WebブラウザーのInternet ExplorerやFirefox、プログラミング言語のJava、アプリケーションのAdobe Flash Playerなどの複数バージョンを搭載した解析環境を並列に実行する。仮想環境上にマルウェアを潜伏させることで、疑わしいWebオブジェクトなどを実行し、脆弱性の悪用やデータの破壊などの不正な行動を監視する。

FireEye Network Security EssentialsはPhase1とPhase2の2段階でマルウェアやウイルスの検知・防御を行う。Phase2のFireEye Multi-Vector Virtual Executionエンジン(MVXエンジン)では、仮想環境を構築し、マルウェアを潜伏させ挙動を監視する。不正な行動を起こしたマルウェアの情報は、MVXエンジンによってブロック・ルールが作成される。ブロック・ルールは、同社が提供する世界中の製品にクラウドを介して共有される。

マルウェアの防御ルールを
クラウドを介して世界中に共有


MVXエンジンは、検知したマルウェアを防御するブロック・ルールを生成し、同社の「FireEye Dynamic Threat Intelligenceクラウド」(以下、DTIクラウド)に自動的にアップロードする。DTIクラウドは、同社が提供するすべてのセキュリティ製品に接続されており攻撃情報を共有できる。


「世界中で800万ほどの仮想実行空間を提供しています。それらの仮想環境からアップロードされる情報をDTIクラウド経由で1時間に1回の頻度で共有することで世界のどこで新しい攻撃が起こったとしても、次の攻撃の防御に活用できます」(岩間氏)


同社では、実際の攻撃を調査し、マルウェアの情報や攻撃者が使用したツール、盗まれた情報などを手動でDTIクラウドにアップロードしている。DTIクラウドでの攻撃情報の共有によって、同社は2013年から今日まで世界中で確認されている36個のゼロデイ攻撃のうち、19個を発見しているのだ。


岩間氏は、中堅企業が高度なサイバー攻撃の標的になってしまう理由の一つに、導入しているセキュリティ製品が一世代前であるケースが多いことを挙げている。そのため攻撃者は脆弱性を突きやすく攻撃しやすいのだ。そうした脅威にさらされている中堅企業に対しては、ハイエンド向けの検知技術を搭載しながら、低価格に設定されたFireEye Network Security Essentialsの提案が効果的だろう。

キーワードから記事を探す