「最初の被害者」が出る前に脅威を特定、マカフィーが新たな取り組み：2014年度の事業戦略説明会開催

　マカフィーは2014年3月11日、2014年度の事業戦略説明会を開催した。同社代表取締役社長 ジャン・クロード・ブロイド氏は、「『Intel Security』ブランドへの変更後も、マーケット戦略やパートナーとの関係は変わらない」と述べた。

マカフィー 代表取締役社長 ジャン・クロード・ブロイド氏

　ブロイド氏は2014年の重点領域として、互いに接続されたセキュリティ機器の間で脅威に関する情報を交換、共有することによって迅速な対応を支援する「McAfee Threat Intelligence Exchange」の他、コンサルティングによるパートナーとのエコシステムの開発やマネージドセキュリティサービスプロバイダー（MSSP）への支援強化を挙げた。

　McAfee Threat Intelligence Exchangeは、オンプレミスに導入している同社セキュリティ製品群と、クラウドベースの脅威情報データベース「Global Threat Intelligence」（GTI）に蓄積されている脅威に関する情報とを互いに照合し、未知の脅威を迅速に見つけ出す仕組みだ。

　具体的には、エンドポイントセキュリティ製品やゲートウェイ製品の他、サンドボックス技術や静的解析技術を活用して未知の脅威を検出する「McAfee Advanced Threat Defense」（ATD）、統合ログ解析製品「McAfee Security Information and Event Management」といった製品群が「Data Exchange Layer」と呼ぶ一種の“バス”を介して情報を交換し、連携して対処する。将来的には、サードパーティのセキュリティ製品からAPIを介して情報共有できる仕組みも用意するという。

　これにより、例えば、エンドポイントでシグネチャにはマッチしない不審なファイルを検出した場合は、GTIの情報を参照し、それでもマルウェアかどうか判別が付かない場合はATDに置くって解析を行うといった具合に、連動して分析を行える。そこでマルウェアであると判断できれば、同種のファイルをゲートウェイでブロックしたり、同一のIPアドレスから送信されてきたファイルをフィルタするといったことも可能だ。この際、ファイルのパッキング方法や付与されているコード証明書の有効期間などを参照し、ルールに反映することもできるという。

　マカフィー マーケティング本部 テクニカルソリューションズ ディレクター ブルース・スネル氏は、「GTIでもインテリジェンスを共有しているが、どこかで“第1の被害者”が被害に遭わない限り脅威を特定できなかった。これに対しThreat Intelligence Exchangeでは、誰も感染していないうちに脅威を発見できる」と述べる。Threat Intelligence Exchangeは2014年度第2四半期中にリリースされる予定という。