日本ヒューレット・パッカード、セキュリティインテリジェンスを活用した新ソリューション

米Hewlett-Packard　Head of Innovation and Advanced Technologies at HP ArcSightのチャールズ・スターナー氏

　日本ヒューレット・パッカード株式会社は7日、セキュリティインテリジェンスを中心とした新しいソリューションとして、マルウェアに感染したホストを特定する「HP DNS Malware Analytics（DMA）」と、アプリケーションセキュリティの精度と効率を向上する「HP Fortify scan analytics」を発表した。この発表に合わせて、同日に記者説明会が行われ、米Hewlett-Packard　Head of Innovation and Advanced Technologies at HP ArcSightのチャールズ・スターナー氏が、テレビ会議を通じて、サイバー攻撃を取り巻く状況やセキュリティインテリジェンス・ソリューションをリリースする背景などを説明した。

　まず、スターナー氏は、悪意のあるハッカーがサイバー攻撃を行うモチベーションには、「Money」、「Ideology」、「Conscience」、「Ego」の4つがあると指摘する。「『Money』は金銭を奪い取ること。『Ideology』は集団による観念に基づいて行われる攻撃で、最も恐ろしいモチベーションだ。『Conscience』は個人的な善悪の判断による攻撃。そして、すべての攻撃にかかわっているのが『Ego』（自我）である。これらのモチベーションの違いによって、サイバー攻撃の方法や内容も大きく異なってくる」という。

　「サイバー攻撃はスキルにも差があり、スキルが低い攻撃と高い攻撃では、被害の大きさが変わってくる。最初は、好奇心によるいたずら程度だが、次の段階では簡単なハッキングを覚える。スキルが上がってくると、自分の技術を試してさまざまな攻撃を行うようになるが、まだ攻撃レベルは低い。しかし、情報収集を目的としたハッキングをしはじめると、やがて悪意のあるプロフェッショナルのハッカーとなり、企業に大きな被害をもたらす。プロのハッカーになるまでは、約4年から6年かかるといわれている。さらに、ごく一部には、スポンサーを受けて高度なハッキングを行う政治的なハッカーも存在する」と、サイバー攻撃のスキルセットについて説明した。

サイバー攻撃のスキルセット

悪意のあるハッカーによるサイバー攻撃のキラーチェーン

　「以前までは、攻撃者自身が高いスキルを備えている必要があったが、最近ではネット上で高いスキルをもったハッカーを雇うこともできる。また、ハッキングツールの高度化やクラウドの発展などでハッキングをする環境も整ってきており、サイバー攻撃がやりやすい状況になっているのも事実だ」と、スターナー氏は、サイバー攻撃が増え続けている要因を分析。

　そして、悪意のあるハッカーがサイバー攻撃を行うための行動には、「Reconnaissance」（偵察）、「Design Attack Plan」（計画立案）、「Collection Tools」（ツールの収集）、「Test Attack」（攻撃テスト）、「Execute Attack」（攻撃実行）、「Analyze Result」（結果の分析）というキラーチェーンがあるとし、「多様化するサイバー攻撃から防御するには、こうした悪意のあるハッカーの行動を把握し、目的や攻撃方法に応じたセキュリティ対策を講じることが重要になる。そこで今回、従来のセキュリティ手法とは異なるアプローチを採用し、新たにセキュリティインテリジェンスによって企業を保護するソリューションをリリースする」と、新ソリューションを投入する背景を述べた。

　今回発表した新ソリューションは、「HP DNS Malware Analytics（DMA）」と「HP Fortify scan analytics」の2つ。「HP DNS Malware Analytics（DMA）」は、DNSトラフィックを調べて感染ホストを識別し、脅威データ分析を自動化するソリューション。エンドポイントのエージェントなしで感染ホストを特定し、リスクの高い脅威を迅速に検出することで、データ侵害への影響を軽減し、セキュリティ体制全般を強化する。

　具体的には、マルウェアに感染したサーバー、デスクトップ、モバイルデバイスなどのホストを迅速に特定し、ネットワーク内に足がかりが作られる前に封じ込めることができるようにする。大容量のDNSレコードを分析するために、一般的なルールベースのアプローチとは異なる独自のアルゴリズムエンジンを使用。また、新たな未知のマルウェアの検出を可能にする一方で、同時にほかのマルウェア検出システムと比較して誤検出を20分の1にまで削減している。

　「HP Fortify scan analytics」は、企業のアプリケーションセキュリティデータを活用した自動学習のテクノロジーを応用し、アプリケーションセキュリティの精度と効率を向上するソリューション。アプリケーションのセキュリティスキャンを実施するたびに増え続けるデータを処理し、人手によるレビューを必要とする問題の数を減らすことができる。

　これによって、企業は、より優先度の高いタスクとリソースに集中することが可能となる。また、この分析テクノロジーは、ワークフローをテストする既存のアプリケーションのセキュリティにシームレスに統合されるため、アプリケーションのセキュリティ監査プロセスの効率化と調査結果の関連性の両方を高めることができる。

　なお、新セキュリティインテリジェンス・ソリューションと合わせ、セキュリティ情報共有プラットフォーム「HP Threat Central」においてHewlett-Packardと日立製作所（以下、日立）が提携したことも発表された。この提携を受け、日立はHP Global Threat Intelligence Allianceに加わり、「HP Threat Central」にサイバー脅威に関する情報を提供するという。

　「HP Threat Central」は、自動化されたオープンな情報共有と文脈分析により、企業や組織がサイバー脅威に対応することを支援するプラットフォーム。「HP Threat Central」には、業界有数の研究者からの未公開の付加価値情報、アンダーグラウンドフォーラムの分析、およびサイバー犯罪者のプロファイルが集積されており、HP Global Threat Intelligence Allianceの参加メンバーにこれら情報が提供される。一方、メンバー企業は、その代わりとして日々直面するサイバー脅威の情報を「HP Threat Central」に提供する仕組みとなっている。

　スターナー氏は、「進化し、多様化するサイバー攻撃から企業や組織を防御するためには、企業や業界をまたいだ情報共有が重要になる。『HP Threat Central』では、悪意のあるハッカーの行動パターンや脅威レベル、分析データなどサイバー攻撃に対するさまざまな情報が共有されている。この情報を活用することで、企業や組織は、攻撃者に先んじてセキュリティに関する情報調査を高度化させるとともにサイバー脅威を迅速に隔離し、脅威の予測と最重要データの保護を行うことができる。今回の日立製作所との提携によって、『HP Threat Central』のセキュリティ情報の共有範囲はさらに拡大することになる」と述べている。