重要性高まる「脅威インテリジェンスサービス」を比較、主要8社のサービスは?:企業の多様なニーズにどう対応する(1/2 ページ)
主要な脅威インテリジェンスサービスを比較し、その違いを確認する。脅威インテリジェンスサービスは企業の多様なセキュリティニーズにどう対処するのだろうか。
複数のソースから収集した脅威情報を、実用的で文脈的な情報に変換するのは、今日多くの企業が直面している課題だ。データクレンジングと名寄せを実行し、使えるデータに変換しなければならないデータが膨大な量となるため、データの精査時にデータポイント間の関係を見落としたり、ノイズ処理を誤ったりといったことが起こりがちだからである。
この問題を解決する方法の1つに、脅威インテリジェンスサービス(またはセキュリティインテリジェンスサービス、脅威インテリジェンス管理サービス)がある。データを収集、フィルター処理、分析し、各種の標準形式で提供することで、さまざまなセキュリティアプライアンスやシステムに取り込めるようにするサービスだ。大半のサービスは、業界や企業ごとにカスタマイズした詳細な脅威レポートも提供する。
自社に最適な脅威インテリジェンスサービスを選択するのは、時間のかかる作業だ。まずはニーズを分析し、インテリジェンスの要件を明確にしなければならない。そのためには、ビジネスプロセスやITインフラストラクチャ、セキュリティ姿勢、脅威情報を管理する能力などを社内で調査する必要がある。その上で、各サービスの特徴を詳しく調べ、サービス事業者と面談する。同業のユーザー企業の意見も参考にする必要があるだろう。脅威インテリジェンスのコストは高額になる場合があるので、入念な事前調査が重要となる。
本稿では、データフィード、アラートとレポート、料金、サポートの面から、主要な脅威インテリジェンスサービスを比較する。取り上げるのは、FireEye、Infoblox、LookingGlass Cyber Solutions、McAfee、RSA Security、SecureWorks、Symantec、VeriSignのサービスだ。
併せて読みたいお薦めの記事
連載:「AI」はセキュリティ担当者を救うのか
連載:「機械学習」「ビッグデータ」が変えるセキュリティ対策
データフィード
前述したMcAfee以外のベンダーはいずれも、サブスクリプションか無期限契約のいずれかでデータフィードを提供している。パッケージの内容や、専用の機器やシステムが必要かどうかは、それぞれ異なる。脅威インテリジェンスサービスについては現時点では独立系機関によるテストの結果がないので、データフィードの正確性や信頼性をベンダー間で比較することはできない。
LookingGlassはデータフィードをさまざまな形式で提供している。リスクの高いホストやドメイン名、Webサイト、悪意のあるペイロード、IPアドレス、新規に登録されたドメイン、悪質なコマンド&コントロール(C&C)サーバ、確認済みのマルウェア感染記録などに関するデータフィードを全て1つの契約で利用できる。
Infobloxの脅威インテリジェンスサービス「ActiveTrust」は、ホスト名、IPアドレス、URLに関するデータフィードを提供する。ActiveTrustのサブスクリプションパッケージには「Standard」「Plus」「Advanced」の3種類があり、StandardパッケージはInfobloxのDNSファイアウォール「Infoblox DNS Firewall」に利用できる基本的な脅威情報のデータセットを提供する。このデータセットに、InfobloxのデータパートナーであるSURBLのデータを加えたのが、Plusパッケージだ。Advancedパッケージは全てのデータセットと全てのデータフィードを利用できる。
SecureWorksは脆弱(ぜいじゃく)性と脅威に関するデータフィードを提供している。フィードは、XML、STIX、CSVのいずれかの形式で既存のインフラストラクチャに取り込める。さらに同社は重要なイベントや攻撃、脅威に関する戦略的セキュリティレポートとすぐに実行可能な提案を、セキュリティアドバイザリとして提供している。
Symantecの脅威インテリジェンスサービス「DeepSight Intelligence」が提供するのは、IPレピュテーション、ドメイン/URLレピュテーション、脆弱性の3つに関するデータフィードだ。レピュテーションに関するデータフィードは、XML、CSV、CEF形式で入手できる。脆弱性に関するデータフィードはXML形式のみ。最新情報を受け取る頻度を、15分ごと、毎時、毎日などから選択できる。
FireEyeの脅威インテリジェンスサービス「iSIGHT Intelligence」には、各種のセキュリティ業務に合わせた複数のサブスクリプションがある。機械処理が可能なデータフィードを専用API「iSIGHT API」を介して提供する。
RSAの脅威インテリジェンスサービス「RSA Live」が提供するデータは、重要な差別化要因となる。RSA Liveのデータはメタデータに変換し、オープンソースやその他各種のインテリジェンスと関連付けて分析することで、データの質が高まる。RSA Liveは脅威検知スイート製品「RSA NetWitness Suite」に組み込まれたサービスなので、RSA Liveのデータフィードを利用するには、RSA NetWitness Suiteが必要だ。
InfobloxのデータフィードはInfoblox DNS Firewallや顧客のセキュリティ機器とともに使用できる。RSAとVeriSignのデータフィードは、プロプライエタリまたは限られた数のサードパーティーのセキュリティシステムでしか使用できない。
McAfeeはデータフィードのダウンロードと処理を顧客に求めるのではなく、脅威インテリジェンスサービス「McAfee Global Threat Intelligence」から、ファイルやWeb、Webのカテゴリー化、メッセージ、ネットワーク接続、証明書に関するレピュテーション情報を同社製品に提供する。こうした仕組みは、リアルタイムの適応型脅威防御製品「McAfee Threat Intelligence Exchange」など、同社の多くの製品においてデフォルトで有効となっている。
アラートとレポート
LookingGlassは脅威に関するカスタマイズしたアラートをメールで送信する。各企業の役員保護とブランド保護のニーズに合わせてカスタマイズした脅威インテリジェンスサービスとレポートの他、データアナリストによるサポートを提供する。
SecureWorksは、ターゲットを絞ったインテリジェンスレポートを提供する。各企業のブランド保護や役員保護のニーズに合わせてカスタマイズしたレポートの他、定期的なインテリジェンスレポート、最新の脅威に関するセキュリティ速報も提供する。
FireEyeのサブスクリプションは、Intelのポータルを介してインテリジェンスレポートを提供する。レポートは、高度な脅威に関する傾向と分析を含む。
McAfeeの「McAfee ePolicy Orchestrator」は、McAfee Threat Intelligence Exchangeと連係するセキュリティ管理ツールだ。管理者はePolicy Orchestratorのコンソールとダッシュボードから、レポートやアラート、システムステータスなどを管理できる。ネットワークに接続したシステムやデバイスに、何らかの脅威の影響を受けているものがあれば、それを検出。ネットワークに接続した他のシステムに直ちにその情報をプッシュ送信することで、脅威の拡散を防ぐことができる。こうした機能を提供しているのは、本稿で取り上げたベンダーの中ではMcAfeeだけだ。
RSA NetWitness Suiteのサブスクリプションで提供されるのは、脅威レポートとアラート、オープンソースコミュニティーのインテリジェンス、一般的なプロトコルとC&Cサーバに関するレポート、エクスプロイトキットのID、ゼロデイ攻撃と不正侵入の兆候、リスクスコアなどの情報だ。
VeriSignはグローバルな脅威に関するインテリジェンスレポートの他、個々の業界や企業に合わせてカスタマイズしたレポートを提供する。
SymantecのDeepSight Intelligenceは顧客ポータルとサポートツールを通じて、早期警告やアラート、パッチの詳細、顧客のランタイム環境に関連したビジネスインパクト分析などを提供する。
料金
Copyright © ITmedia, Inc. All Rights Reserved.