カスペルスキー、脅威情報やマルウェア緊急解析といったサービス群を提供：「防御」「予見」「発見」「対処」4つのプロセスを包括的にカバー

　またロシア・カスペルスキーラボのセキュリティサービス担当 最高技術責任者 セルゲイ・ゴルディチック氏は「標的型攻撃は数としては多くはないが、ひとたび発生すれば損害は大きい。対抗していくのは簡単ではないが、まず敵を知り、己を知ることが重要だ。相手の振る舞いを理解することによって、よりよい防御につなげることができる」と述べ、インテリジェンスサービスがその手助けになると説明した。

脅威単体の情報だけでなくシナリオ全体の情報を提供

　例えば「発見」のステップでは、「脅威データベース提供サービス」によって、マルウェアのハッシュ値や悪意あるサイトのURL、ボットネットを操るC＆CサーバのURLといった情報を提供し、脅威の発見を支援する。これらの情報はJSON形式で記述され、人間が目で見て分かる他、機械でも直接読み込みが可能だ。「われわれはSIEM（Security Information and Event Management）製品の導入を推奨しており、脅威データベース提供サービスではSplunkをはじめ複数のSIEM製品向けプラグインを提供している。SIEMにインテリジェンスを加えることで、標的型攻撃を確実に見つけ出す」（千葉氏）

　この種の侵害の兆候（Indicators of Compromise）を知らせるインテリジェンス提供サービスを展開するセキュリティ企業が増えているが、「カスペルスキーはマルウェアの収集能力が高く、その解析によって、C＆CサーバのIPアドレスやURL、そこからダウンロードされるRATの種類、ホスティングされる環境の情報といったマルウェアにひも付くさまざまな情報を提供できる。しかもそれらを単体ではなく、数珠つなぎになっている一連のシナリオとして解析し、時には攻撃者の情報も加味しながら提供していることが特徴だ」（千葉氏）

　「対処」の部分では、日本の顧客から特に要望の多かった「マルウェア緊急対応判定サービス」を提供する。標的型攻撃に用いられるマルウェアは、セキュリティ対策をかいくぐる目的で、特定の環境でしか動作しないといった偽装を施すことが多い。そこで同サービスでは、添付ファイルが手元に届いた際に簡易解析を行い、1〜2日で緊急度を判定。「ネットワークから切り離すべきか否か」「解析のためにどういったログを収集すべきか」といった、インシデントレスポンスの初動対応に必要なアドバイスも行う。

　「予見」では、先進的な攻撃の解析情報をレポートとして影響する「インテリジェンスレポートサービスに加え、特定の顧客を標的としたマルウェアに関する情報や、アンダーグラウンドでやり取りされるアカウント情報がないかを調査してレポートする「個別インテリジェンスレポートサービス」などを提供。システムの脆弱性を調査する「ペネトレーションテスト」や「アプリケーション セキュリティアセスメント」も実施する。

　さらに、これらセキュリティ対応に当たる人材の育成を支援するため「サイバーセキュリティトレーニング」や「サイバー演習」も実施していく。演習では「水処理工場編」「発電所編」といった具合に、特定の業界や場面ごとに作成したシナリオを用意し、インシデント発生に備えた準備を支援する。

　「特に標的型攻撃の被害が表面化してから、インテリジェンスサービスに関する問い合わせが増えている」と千葉氏は述べており、サービスの一部は、国内の企業で検証済みだという。価格は基本的に個別見積もりだ。

　カスペルスキーでは、エンドポイントセキュリティ製品だけでなく一連の新サービスを提供することによって、より包括的な防御の実現を目指す。産業制御システム向けのセキュリティ製品をはじめ、引き続きラインアップを拡大していく予定という。