ファイア・アイ、SaaS型の脅威インテリジェンス提供サービス「Mandiant Advantage：Threat Intelligence」を国内で提供

　ファイア・アイ株式会社は20日、脅威情報を提供する「Mandiant Advantage：Threat Intelligence」（以下、Threat Intelligence）の国内提供を開始したことを発表し、オンラインでのメディア向け説明会を開催した。

　Threat Intelligenceは、Mandiant Solutionsとして提供する初のSaaS型サービスで、サービスプラットフォーム「Mandiant Advantage」から提供される最初のサービスでもある。同社のインシデント・レスポンスの最前線で得られたデータを脅威インテリジェンスと組み合わせ、管理プラットフォームを通じて脅威情報として提供する。

　ファイア・アイ 執行役副社長 岩間優仁氏はMandiant Solutionsについて、「現在使用しているSIEM（Security Information and Event Management）やセキュリティ製品が何であっても、Mandiantの持っている知見を生かしてセキュリティ対策を強化し、自動化を促進する」と説明する。

ファイア・アイ 執行役副社長 岩間優仁氏

　FireEyeのセキュリティソリューション全体を俯瞰（ふかん）すると、メールセキュリティ、ネットワークセキュリティ、エンドポイントセキュリティなどFireEyeが提供しているサービスから得られるセンサー情報は、セキュリティ・オペレーション・プラットフォームであるHELIXで管理され、Mandiant Advantageと連携することができる。

　しかし、Mandiant Solutionsを利用する上ではFireEyeのセキュリティサービスが必須ではないため、ブランドニュートラルなソリューションになっているという。

FireEyeのセキュリティソリューション構成。左側のMandiant AdvantageはFireEyeと連携してセンサー情報などを取得可能だが、FireEyeが必須というわけではない

　Mandiant Advantageは、FireEye自身が広く脅威者を監視することで得られる「脅威インテリジェンス」と、すでに投資しているセキュリティ製品が有効に機能しているか（設定漏れや設定ミスがないか）をツールで確認する「SECURITY VALIDATION」、専門家に問い合わせた内容を確認する「EXPERTISE ON DEMAND」、顧客の環境における不審な挙動や新しい攻撃の傾向といった情報を活用する「MANAGED DEFENSE」、およびセキュリティコンサルティングなどで構成される。

Mandiant Advantageから提供されるサービス

　Mandiantはグローバルで年間数百件（昨年は約850件）のインシデント対応をしており、それらの解析など攻撃事例への対応に約20万時間を費やした情報を「侵害インテリジェンス」として保有している。

　また、FireEye自身のセキュリティ製品から上がってくるセンサー情報や独自のレピュテーション情報から得られる「マシン・インテリジェンス」、FireEyeのセキュリティオペレーションセンターでの監視やイベント調査などから得られる「運用インテリジェンス」、アンダーグラウンドなSNSやダークウェブなどでやり取りされている情報を監視して得られる「攻撃者インテリジェンス」、および実績調査・コンサルティング・疑似攻撃などに裏付けられたFireEyeの「専門知識」といった知見も豊富に活用されているとのこと。

Mandiantは年間で数百件のインシデントに対応している

　これまで、FireEyeが持つこれらの知見は、これまで同社のアナリストが情報を精査し、経験に基づいて調査した結果をインテリジェンスレポートとして提供されていた。しかし、アナリストの目に触れていない情報が活用できていなかったという。

　そこでFireEyeは、社内のアナリストの目に触れるのと同じようなタイミングで、これらの知見を顧客に提供し、独自に判断できるようにした。また、オープンソースで収集された知見については、無償で提供されるとのこと。

　「現実の世界で、今、まさに攻撃が起こっているということをタイムリーに理解し、対応していただけるようになる。また、これまでオープンソースの情報を提供してこなかったのは、これらの情報には偽情報も多く、専門家の分析が必要だと考えていたことが理由だが、実際にFireEyeが活用している情報がどういうものかを理解していただくために、提供することにした」（岩間氏）。

Threat Intelligenceで提供されるインテリジェンス。オープンソースの情報も無償で提供するという

　従来のサービスでは、アナリストによる完成したレポートなどのインテリジェンスが提供されていた。もちろんレポートは専門的知識に裏付けられた深い内容ではあるが、文章を読み込んで理解しなければならなかった。

　一方、新しいサービスでは、インテリジェンスの提供モデルを変換し、ダッシュボードによる直感的でグラフィカルなインテリジェンスとして提供されるようになる。リアルタイムで動的なインテリジェンスを得ることができるようになるため、より迅速な対応が可能になるという。

従来のサービスと新サービスのインテリジェンス提供モデル

　また、早期警戒情報などのセキュリティ関連が発信された際、Threat Intelligenceに詳しい情報があるキーワードはハイライトされて表示される。ブラウザプラグインにおいて、コンテキストの表示、IOCのダウンロード、関連レポートへのリンク提示が行われるため、さらに深掘りする調査などが可能になるという。

　なお、Threat Intelligenceの検索や参照は、現段階ではブラウザプラグインでのみ対応となっているが、今後は、ほかのアプリケーションから利用できるようなAPIを提供予定とのこと。

セキュリティ関連情報が発信された際、深掘り調査などが簡単にできる

　今回提供が開始されたThreat Intelligenceには、無償版であるFREE、Security Operation、Fusionという3つのパッケージが用意されており、パッケージによって提供される脅威インテリジェンスの範囲やレベルが変わる。

　既存サービスで提供されてきたレベルがFusionに相当する。Security Operationは、企業のセキュリティ運用者やセキュリティ担当者向けのパッケージで、Fusionよりも導入しやすい価格になっているという（価格は非公開）。

　なお、脅威インテリジェンスは英語のみの提供となっている。

Threat Intelligenceには、FREE、Security Operation、Fusionの3パッケージが用意されている