ファイア・アイは4月26日、高度サイバー攻撃に特化した監視・分析サービス「FireEye As a Service(FaaS)」の拡充を発表した。同時に、これまで世界5ヵ所で展開していたサービス拠点「Advanced Thread Response Center(以下ATRCと略記)」を都内に開設した。
日本人スタッフによる対応などサポート体制が拡充
FaaS自体は昨年7月よりサービスを開始していたが、レポートやサポートは英語による提供にとどまっていた。都内のATRC開設に伴い、日本人スタッフによる対応(日本における営業時間のみ)が得られることになる。
説明会ではファイア・アイ プレジデント 執行役社長の茂木 正之氏が挨拶。2012年のスタートから順調に業績を伸ばしているのはファイア・アイの営業力の高さではなく、「国内企業・団体の経営陣がセキュリティへの意識を高めたことで、投資が増えた結果だ」と話す。同社は、標的型攻撃対策製品で国内過半数のシェアを占めており(IDCによる2014年統計)、さらに昨年もシェアを伸ばしたという。
ファイア・アイプレジデント執行役社長の茂木 正之氏 |
2012年から大きく業績が伸びたのは経営陣のセキュリティ投資の考えのあらわれという |
企業・団体を狙う標的型攻撃対策製品では国内ナンバーワン。2015年はさらにシェアを伸ばした |
ファイア・アイの強みとしては1100万の仮想センサーネットワークによる「現在の脅威のインテリジェンス」、Mandiantの侵害判断やインシデント対応から得られた「脅威被害のインテリジェンス」に加え、先日買収したiSIGHT PARTNERSの買収によって攻撃者の動向や準備プロセスによる「攻撃者のインテリジェンス」の3つを挙げる。
これらのインテリジェンスやMandiantによるコンサルティングや、ぺネトレーション・レッドチーム(疑似攻撃診断)サービス、世界で6番目となるATRCの日本に開設によって、より日本の顧客を支援できる体制が整ったという。
一方、昨年後半の統計によるとファイア・アイ顧客のうち高度なサイバー攻撃を受けた被害率は世界平均が15%に対し、日本は19%と高くなっていることを指摘。この傾向は今後G7伊勢志摩サミットやオリンピックなどグローバルイベントの開催に伴って、機密情報取得だけでなく、政治的な動機付けを持ったグループからも狙われやすいと指摘していた。
オバマ大統領と習近平国家主席の会見以降、米国の攻撃率は減り、APACや日本に向けられた |
日本を狙うのは少なくても20のグループがあり、ハイテクや製造、通信が攻撃されやすいという |
3つの異なるインテリジェンスを包含したグローバルプラットフォームによって顧客を脅威から保護する |
FaaSについては、米FireEye カスタマー・サービス担当上級バイス・プレジデントのアンソニー・コーカッシュ氏説明を行った。同氏によると、「テクノロジーだけでは(セキュリティの)問題解決にならない」といい、今後はセキュリティ製品ではなくサービスが大きく伸びるという予測を示していた。
FaaSの特徴としては「迅速なレポート」が大きいとし、侵入から一時間以内に「何が起こっているのか」の概要レポートを提供する。一例として標的型攻撃のURLをクリックしたことによってバックドアを開いて偵察を開始したが、FireEye側の措置によってクライアントをシステムから隔離した結果偵察行動が終了したという攻撃の様々な詳細情報を報告していた。
企業内のセキュリティ担当者が非常に優秀でも、他業界、他企業で行われているセキュリティ状況をリアルタイムに把握することができない。一方FireEyeは広範囲な顧客から現在行われている「攻撃キャンペーン」が他企業で行われてた場合、迅速に対処することができる。
NTTグループマネジドセキュリティーサービスでもFaaSを使用。取りこぼしを減らす
また、記者説明会にはNTTコミュニケーションズ 経営企画部 マネージドセキュリティサービス推進室 室長の与沢 和則氏も登壇し、同社のマネージドセキュリティーサービス(MSS)で補完的な利用を行っていることを紹介した。
NTTコミュニケーションズ 経営企画部 マネージドセキュリティサービス推進室 室長の与沢 和則氏 |
NTT ComはAPACでのMSSPリーダー。これに攻撃検知・防御技術リーダーのFireEyeを組み合わせることで更なる強化を目指す |
MSSでは日頃の監視から脅威の隔離まで一貫した運用を行っているが、同社のMSSにFaaSを併用すると「驚異の調査→即時対応→隔離」に関して機能のダブりがある。しかしこのオーバーラップと連携を行うことによってNTTコミュニケーション側で見逃してしまった脅威を検知する可能性が上がり、そしてより迅速に対処が行える。さらにFaaSでは隔離の先の作業となる「修復」が加わっており、脅威を迅速に封じ込めて、根絶し、復旧するという顧客の要求にシナジー効果で応える事に期待を寄せていた。
NTT ComのサービスとFaaSにはオーバーラップ部分があるが、これによって検知漏れをなくし、検知速度を上げる事に活用 |
企業にとって重要なことは脅威を無力化する事。ここでもFaaSとの連携が寄与する |
導入事例の中では顧客から見えない形でMSSにFaaSを含めた組み合わせた例を紹介し、この方が顧客側の窓口が一本化していることに加え「日本の会社同士となるので、話が通しやすい」と説明していた。
なお日本のATRCに関しては20人程度が勤務できるスペースが用意されており、ほかの5ヵ所のATRCと連携した解析、対応を行っている。ほかのATRCでは軍や警察からの転職者もいるという事だが、日本ではまだこのような人材交流がないため、日本では深いセキュリティ経験を持つ人材を雇い、FireEyeでさらにトレーニングを行ってからATRCに配属したそうだ。