ラックがマネージドサービス強化、「未知の脅威」を発見しアドバイス：ファイア・アイの標的型対策製品を活用

　ラックは2014年3月6日、顧客に代わってセキュリティ機器を遠隔から監視し、不審な兆候があればアラートを出す「セキュリティ監視・運用サービス」を拡充、米ファイア・アイの機器を監視対象に追加することを発表した。これまで運用してきたファイアウォールやIDS／IPSでは検出が困難だった「未知の脅威」に対する防御を強化することが狙いで、4月1日よりサービスを開始する。

　同社はこれまで、総勢70名以上のエンジニアが詰めるセキュリティ監視センター「JSOC（Japan Security Opeartion Center）」をベースに、顧客ネットワークに導入したファイアウォールやIPSといったセキュリティ機器を24時間365日体制で監視する「JSOC マネージド・セキュリティ・サービス」（JSOC MSS）を提供してきた。シグネチャに基づいて不正な通信や攻撃を検出し、遮断するサービスだ。

　しかし、こうしたサービスでは「既知」の攻撃やマルウェアは検知できても、昨今の標的型攻撃や水飲み場攻撃に使われるような、「未知」のマルウェアやゼロデイ攻撃の検出は困難だった。

　例えばラックは2013年10月に、ゼロデイ脆弱性を狙った水飲み場攻撃に対する注意喚起を行ったが、それも「IDSが上げたアラートとパケットの中身に違いがあり、それまで見たことのない攻撃であることにアナリストが気付き、分析を始めたことがきっかけだった」（同社 常務執行役員 セキュリティ事業本部長兼JSOC事業部長 丸山司郎氏）。つまり、既存のシグネチャベースの対策をすり抜けてくる「未知の脅威」の発見については、「基本的に人力で頑張るしかなかった」（同氏）という。

　ファイア・アイの標的型攻撃対策製品「NXシリーズ」「EXシリーズ」を活用した「マルウェア対策製品監視・運用サービス」は、人手に頼っていた部分を自動化し、未知の脅威が侵入を試みていないか、侵入しているとすればどの端末が感染し、どんなサイトと不正な通信を試みているかといった情報を、対策アドバイスとともに提供する。

　特徴は、機器が生成するアラートをそのまま提供するのではなく、ラックのセキュリティアナリストが、時にはファイアウォールやIPSのログも含めて分析を加えた上で、「何が起こっており、どんな対策を取るべきか」を具体的に伝える点だ。もし、迅速な対応が必要な緊急事態だと判断した場合は15分以内に顧客に電話で連絡する。必要に応じて、「サイバー救急センター」による緊急対応サービスもオプションとして利用できるという。

　ファイア・アイのセキュリティアプライアンスは、未知の脅威の検出に特化した製品だ。独自開発のサンドボックス上で疑わしいファイルを実行させて挙動を観察し、未知のマルウェアやゼロデイ攻撃を特定する。しかも、「どういう動きをしているかが分かるということは、どこを切ればいいか、出口対策のポイントが分かるということ。さらに、シグネチャに反映させることで、標的型攻撃に対するトータルな防御を提供する」と、ファイア・アイ カントリーマネージャー 茂木正之氏は述べる。

　丸山氏も、「未知の脅威に関しては、基本的に攻撃側が優位で守る側が劣勢に立たされている。その中で人手で何とかすべく頑張ってきたが、どうしても限界はある。サンドボックスやレピュテーション技術を実装したファイア・アイの製品を活用して監視サービスを提供することで、その関係を逆転させていきたい」としている。

　マルウェア対策製品監視・運用サービスの参考価格は、NXシリーズ1台を利用する場合で月額50万円から、NXシリーズ／EXシリーズ各1台を利用する場合で80万円から。