ファイア・アイが「FireEye as a Service」提供へ、攻撃発見までの期間を短縮：未知の脅威に特化しMSSを補完

　ファイア・アイは2015年7月22日、未知の脅威に特化して検知、防御やインシデント対応を支援するセキュリティ監視サービス「FireEye as a Service」を発表した。2015年内に、国内の複数のパートナー企業を介して提供する予定だ。

　ファイア・アイは、仮想環境上で疑わしいファイルを実行し、その振る舞いを解析して未知の脅威を検出するアプライアンス製品「FireEye NXシリーズ」やエンドポイント向け製品「FireEye HXシリーズ」を中心に、未知の脅威やゼロデイ攻撃に特化した防御策を提供。同時に、アプライアンスから得られたデータに傘下の米マンディアント（Mandiant）の情報も活用しながら、脅威の動向を「脅威情報インテリジェンス」としてまとめ、提供してきた。

　FireEye as a Serviceは、こうした機器やナレッジをベースにしたセキュリティ監視・解析サービスだ。ファイア・アイが収集した最新の脅威情報を1時間ごとに配信し、防御を支援するほか、セキュリティ侵害の兆候が発見された場合は詳細な解析を行う。当該ホストの隔離による拡散防止と復旧支援、解析結果に基づく再発防止策の実施といった一連のインシデントレスポンスも支援する。

米ファイア・アイ アジアパフィシック・日本担当 シニア・ディレクターのワイアス・イサ氏

　既に、ファイアウォールやIPSを遠隔から監視し、不正アクセスを検知する「マネージドセキュリティサービス（MSS）」という形態が広がっているが、米ファイア・アイ アジアパフィシック・日本担当 シニア・ディレクターのワイアス・イサ氏は、「こうしたSOC（Security Operation Center）機能やMSSは、シグネチャに基づいて既知の脅威を検知する。これに対しFireEye as a Serviceは、APT（Advanced Persistent Threat）をはじめとする未知の脅威の検知、分析や感染拡大防止にフォーカスしており、既存のSOCやMSSを補完するものという位置付けだ」と述べた。

　マンディアントの調査によると、標的型攻撃を受けた企業や組織では、それが発見されるまでに平均で205日の期間を要するという。また、自ら攻撃に気付く企業・組織は少数派で、69％は外部から指摘されるまでその事実に気付かないそうだ。

　また、米ファイア・アイ マンディアントのバイスプレジデント、チャールズ・カーマカル氏は、近年の攻撃のトレンドとして、VPNやリモートアクセスといった企業が用意する「正規のインフラ」や、ユーザーに割り当てられた「正規の認証情報（クレデンシャル）」、ベンダー各社から盗まれた「正規のデジタル証明書」、「正規のWebサイト」を改ざんして悪意あるコードを埋め込む水飲み場型攻撃など、正規の仕組みが悪用されていることに言及した。つい先日も、少なくとも日本の2つの企業・組織のWebサイトが改ざんされ、明らかになったばかりのAdobe Flash Playerの脆弱性を狙うコードが埋め込まれていたことが、同社の調査で明らかになったという。

　「FireEye as a Serviceによって、（標的型攻撃の発見までに）205日間掛けることなく、数分で侵害の事実を認識し、侵入による影響を最小限に抑えることができる」（イサ氏）。

　FireEye as a Serviceは、ファイア・アイの販売代理店やMSS事業者を通じて、それぞれに付加価値を加えた形で提供されるという。価格や提供形態は追って発表される予定。