検体ファイル自動解析や各種データフィードなど6種のサービス、ESET CTOにその特徴を聞く

キヤノンMJ、ESETの脅威インテリジェンスサービスを国内提供

文●大塚昭彦/TECH.ASCII.jp 写真● 平原克彦

  • この記事をはてなブックマークに追加
  • 本文印刷

 キヤノンマーケティングジャパン(キヤノンMJ)は2019年11月11日、クラウド型脅威インテリジェンスサービス「ESET Threat Intelligence(ETI)」の国内提供を発表した。2020年1月下旬より発売する。

 ASCII.jpでは今回、11月12、13日開催の「Canon Security Days」で来日したESET CTOのユライ・マルホ氏に同サービスの特徴などを、またイーセットジャパン カントリーマネージャーの黒田宏也氏に国内市場での戦略を聞くことができた。本稿ではそのインタビュー内容も交えながらお伝えする。

「ESET Threat Intelligence」のサービス概要。ESETが分析した高度な脅威インテリジェンスを、セキュリティサービスプロバイダーや企業のCSIRT/SOCに提供する

ESETのCTOを務めるユライ・マルホ(Juraj Malcho)氏

“攻撃予兆”に基づく早期警戒からインシデント調査まで幅広く支援

 ESET Threat Intelligence(以下、ETI)は、マネージドセキュリティサービスプロバイダー(MSSP)やSOCサービス事業者のようなサービスプロバイダー、またCSIRTやSOCなどのセキュリティ対策部門を擁する企業/組織などに対し、標的型攻撃の予兆なども含めた高度な脅威インテリジェンスを提供する情報サービスだ。

 ソースとなるデータは、世界中でESET製品が保護する1億台以上の端末から収集される。これをESETのリサーチチームが分析し、その脅威情報に基づいて6種類のサービスを展開する。これらは顧客側のニーズに応じて個別に選択、契約することができる。ちなみにETIの脅威インテリジェンスは、ESETのEDR製品である「ESET Enterprise Inspector」クラウドサンドボックスの「ESET Dynamic Threat Defense」でも使われている。

 顧客がSIEMなどのセキュリティ製品に取り込んで活用できるデータフィードとしては、「ETI Botnet Feed」「ETI Malicious Files Feed」「ETI Domain Feed」「ETI URL Feed」の4つがラインアップされている。これに加えて、顧客企業/組織をターゲットに準備中あるいは進行中の攻撃について“早期警戒情報”をレポートする「ETI Early Warning」、顧客が提出した不審なサンプルファイル(もしくはそのハッシュ)の自動解析結果をレポートする「ETI Automated Sample Analysis」が提供される。

 こうした脅威インテリジェンスの提供を受けることで、顧客側では攻撃予兆の把握から、攻撃を受けた場合のインシデント調査、あるいは対応優先度の決定などを効率的かつ迅速に進めることができる。

ETIで提供されるレポートのサンプル

ETIは「脅威の予知」を担うものと位置づけられている

「脅威情報に『100%の信頼性』を担保したい」“データの質”にこだわり

 マルホ氏によると、ETIが現在のラインアップでサービス提供を開始したのは2018年初頭だが、Early Warningなど一部のサービスには15年ほど前から提供してきたものもあるという。ただし、当時は個々の顧客企業にオーダーメイドで提供するアプローチを取っており、自動解析やデータフィードの仕組みを取り入れたETIは、そのメリットをより幅広い顧客に提供できるようにしたものだと言える。

 「ESETは顧客にとって有益なデータを持っていた。一方で、顧客側からは(攻撃に関する)情報提供やサンプル解析のリクエストがひんぱんに来るようになった。われわれの持つデータをさらに活用してもらうためにはどうすべきか、考えた結果がETIというサービスになった」(マルホ氏)

マルホ氏

 現在の顧客側で大きな課題になっているのが「対応優先度の決定」だと、マルホ氏は説明する。SIEMを導入してさまざまなセキュリティログを統合したものの、それだけでは緊急度の高い脅威を選び出すのは難しい。ETIのデータフィードを通じて、ESETから“アドバイス”を受けられるというわけだ。

 もうひとつ、標的型攻撃/APTに対抗していくうえでは、不審なファイルが未知のマルウェアではないかどうかを調査したいというニーズもある。Automated Sample Analysisによって、ESETの持つ膨大なマルウェアデータベースとも照合しながら、自動化された形でそのファイルの素性を明らかにすることができる。

 前述したとおり、ETIのソースデータは1億台以上のESET導入端末から収集される。マルホ氏は、ESET端末では1日あたりおよそ100万件以上の攻撃をブロックしており、不審なファイルは1日あたりおよそ30万件が「新規に」発見されると語る。新たなマルウェアが発見された場合は、ESETリサーチチームによる手作業も交えながら、既知のマルウェアファミリーとの関連付けなどを行う。グローバルな情報収集網がベースとなっているため、地域ごとの“攻撃トレンド”なども見えてくる。

 こうした作業の結果、新たに追加されるデータやサンプルの量は毎日数万件規模に及ぶという。ただしマルホ氏は「ESETではデータの“量”よりも“質”をより重視している」ことを強調した。

 「たとえ提供されるデータの量が多くても、その質が低ければ、結局は使いづらいデータでしかない。また、フォールスポジティブ(誤検知)の確率も高まってしまう。ESETとしては『100%の信頼性』を担保したいと考えており、そのためにデータの質を重視している」(マルホ氏)

 この「誤検知が多ければ意味がない」という考え方は、ESETのほかの製品/サービスにも通底する哲学だ。顧客が脅威対策やインシデント対応を行うためには人手が必要となるため、不正確な情報は無駄な業務を発生させてしまう。

イーセットジャパン カントリーマネージャーの黒田宏也氏は、国内市場におけるETIへの期待を語った

 日本法人カントリーマネージャーの黒田氏は、昨年9月のイーセットジャパン設立時には脅威情報の提供強化、日本語での情報発信強化という方針を示し、それを実現してきたことから、国内でのETIに対する期待値も高まっていくだろうとの見通しを述べた。

 また国内市場でターゲットとする顧客については、グローバルと同じくセキュリティサービスプロバイダー、および金融機関など自社でSOCを運用するエンタープライズだと説明し、キヤノンMJと協調しながらビジネスを拡大していきたいと抱負を語った。

■関連サイト

キヤノンMJ トップへ