カスタマイズがいっそう進む標的型攻撃を機械学習で監視、カスペルスキーが対策製品：イベントという「点」を、標的型攻撃の「線」に

　「標的型攻撃は、侵入から情報漏えいなどのインシデント発生まで、シンプルで直線的なプロセスのように説明されがちだが、それは異なる。複数の“点”があちこち複雑につながっているような、込み入ったアプローチを取っている。セキュリティ担当者にとって重要なのは、このように散在する点をつないで“線”にし、全体像を把握することだ。しかし実際には、異なるセキュリティソリューションから見きれないほどに多くのアラートが通知されるので、複数のコンソールを見比べながら、重要なイベントを特定するのが困難な状況にある」（セレブロフ氏）

　カスペルスキー ビジネスディベロップメントマネージャーの千葉周太郎氏も、「既に次世代ファイアウォールやサンドボックスといったセキュリティ製品を導入済みの企業も多い。しかし、それぞれが独自にわらわらとアラートを出すために、重要なポイントを見逃す恐れがある」と述べる。

　KATAはこうした状況を踏まえ、既存のセキュリティ製品を補完しつつ、インフラ全体を見渡して監視するための「新しいレイヤー」という位置付けにした。攻撃コードが添付されたフィッシングメールの受信から、不審なホストとの通信、「Mimikatz」のような認証情報を盗み取るマルウェアツールのダウンロードに至るまでの一連の動きを、個々のイベント単位ではなく、中長期的なつながりとして、いわゆる「キルチェーン」の単位で把握できるよう支援するという。

KATAでは、複数のイベントをばらばらにではなく、1つの「キルチェーン」にまとめて追跡する

　特長の1つは、定義データベースやレピュテーション、振る舞い分析といった手法に加え、機械学習技術を実装した「セントラルノード」の存在だ。最近、機械学習技術をセキュリティ製品に適用する動きが活発になっているが、その多くはクラウドベースのサービスとして展開される。これに対してKATAのセントラルノードはオンプレミスに導入する。顧客それぞれの環境やトラフィックパターンを学習し、クラウド側のエンジンから提供される情報も加味して相関分析を行い、不審な動きを見つけ出す。これによって、脅威を特定するまでの時間を短縮するとともに、限られたセキュリティ担当者の負荷も低減できることになる。

　セレブロフ氏は、「カスペルスキーには、機械学習のエンジン以外にも、それを支えるグローバルな脅威インテリジェンスや、標的型攻撃の調査に特化した専門家の知見がある。“Machine（機械）”だけではなく、“Human（人）”だけでもない。“Humachine”のインテリジェンスを持つことが特長だ」と述べた。

　セレブロフ氏はまた、「標的型攻撃は以前からあるが、戦術も技術もますます高度化している。顕著な傾向の1つとして、各攻撃がターゲットに合わせてカスタマイズされた結果、シグネチャはおろか、IOC（Indicator of Compromice：侵害の痕跡情報）も意味を為さなくなってきている。また、メモリ常駐型のファイルレスマルウェアを用いるケースも増加している。再起動すると痕跡が消去され、解析が困難になってしまう」と指摘した。そこでセントラルノードでは、わずかな特徴からでもルールを作成し、ある特定の環境でしか動作しないマルウェアも検知できる「YARAルール」を採用し、検出能力を高めているという。

　「標的型攻撃に対しては、始めからセキュリティを念頭に置いてIT環境を設計することが重要だ。そして定期的に脆弱（ぜいじゃく）性を検査し、パッチを適用し、従業員に対するトレーニングを実施するとともに、ゲートウェイやサーバ、エンドポイントといった全てのポイントを保護することが大切だ。ただし、インシデントを分析し、リスクを特定する作業を人力だけで行うのは、もはや困難である。こうした部分に機械学習技術をうまく活用することで、専門家を支援できるだろう」（セレブロフ氏）

KATAのダッシュボード画面

　KATAには、対象となるネットワークの規模や帯域に応じて複数のライセンスプランが用意される。参考価格は、従業員1000人までの企業を対象とした「Entryプラン」で750万円（税別）からとなっている。