セキュリティ ソリューション

Cisco AMP Threat Grid:高度なマルウェアへのプロアクティブな対策

ソリューション概要





Cisco AMP Threat Grid:高度なマルウェアへのプロアクティブな対策



今日の高度なマルウェアは、ごく普通の環境の中に潜んでおり、巧みに防御をすり抜けて攻撃の機会を辛抱強く待っています。セキュリティ チームは高度な脅威を検出して分析するという難題に直面していますが、セキュリティ テクノロジーの機能や相互接続性が十分ではないため、脅威を防ぐことができていません。


セキュリティの侵害は毎日のように起こっており、組織は容赦のない攻撃にさらされています。新聞の一面トップを飾るほどの大事件になっている攻撃もあります。今日では、世界に広がる攻撃者コミュニティが高度なマルウェアを生み出し、多面的な攻撃やさまざまな攻撃ベクトルを通じて、このようなマルウェアをあらゆる規模の組織に送り込んでいます。このような攻撃に対し、組織側の機密データ保護対策は遅れをとっていると言わざるを得ません。現在多くの組織が採用しているのは、すでに時代遅れになっているか、部分的な効果しか期待できない、シグネチャベースのテクノロジーを利用したツールです。現代のセキュリティ チームは、マルウェアの特定と駆除をごく短期間のうちに行う必要に迫られています。しかも、組織を高度なマルウェアから守るために必要なスキルや経験を持つスタッフは大幅に不足しています。

Cisco AMP Threat Grid は、動的なマルウェア分析と脅威インテリジェンスを 1 つに統合した、クラウドまたはオンプレミスで利用できるソリューションです。このソリューションを導入することで、既存のセキュリティ インフラストラクチャにリアルタイム動作分析と最新の脅威インテリジェンス フィードを統合できます。AMP Threat Grid は、マルウェアが今何をしているか、これから何をしようとしているか、どの程度の脅威をもたらすか、それに対抗するにはどうしたらいいか、という情報を提供します。


攻撃の高度化により従来のセキュリティ アプローチでは対抗が困難


2015 年シスコ年次セキュリティ レポートによると、サイバー犯罪者は、マルウェアをターゲット環境に継続的に潜伏させるために、ユーザが信頼するツールに隠れるようなマルウェアを開発しています。PwC のグローバル情報セキュリティ調査 2014 では、組織が検出するインシデントは前年比で 25 % 以上増加しており、インシデントによる損失も前年比で 18 % 増加していると報告されています。Verizon の 2014 年データ漏洩調査レポートでは、調査した攻撃のうち 4 分の 3 が、数日または数時間で組織全体のセキュリティを侵害しており、組織がその攻撃に気付くまでに数週間から数ヵ月かかったことが報告されています。そして、この差は広がっています。

ESG Global が行った 2015 年の IT 支出に関する調査によると、組織の IT セキュリティ スキル不足が続いていると答えた大〜中規模企業は 28 % にのぼっています。

セキュリティ企業もその例外ではなく、高度な脅威という難題を前に苦しい戦いを強いられています。今まで以上に迅速な対応が求められているにもかかわらず、現代の大規模な企業環境では、企業の中で何が起きているのかを理解することがますます難しくなっています。セキュリティの専門知識を持つ人材が少なく、新たな防衛手段を講じる予算も限られているため、企業の脆弱性は高まる一方です。


AMP Threat Grid の概要


AMP Threat Grid は、組織をマルウェアから保護するために必要な詳細情報を提供します。堅牢でコンテキストリッチなマルウェア ナレッジ ベースに基づいて、マルウェアが今何をしているか、これから何をしようとしているか、どの程度の脅威をもたらすか、それに対抗するにはどうしたらいいかを提示します。このソリューションには次の機能が含まれています。

マルウェア分析

AMP Threat Grid は閉じたコミュニティからマルウェアを安全にクラウド ソーシングし、静的/動的分析を含む独自手法に従ってあらゆるサンプルを分析します。従来のサンドボックス テクノロジーとは異なり、仮想環境の外側で動的に分析することによって、分析を逃れるように設計されている悪意のあるコードを特定します。分析の一環として、グローブボックス機能によってマルウェアをリアルタイムに調査し、今後の再現や報告のためにあらゆる活動を再コード化します。


脅威スコア

AMP Threat Grid は、350 以上の動作指標と世界中から集めたマルウェア ナレッジ ベースを活用して、高度なマルウェアに関してより精度の高いコンテキストリッチな分析を行います。AMP Threat Grid に送信されたマルウェア サンプルから、重大度と確実性という 2 つの要素に基づく脅威スコアが生成されます。AMP Threat Grid は、この動作指標に基づいて、悪意がある、疑わしい、良性のどれに当てはまるサンプルかを判断し、その理由を提示します。推量による評価ではありません。


既存のセキュリティ テクノロジーの強化

AMP Threat Grid は、既存のセキュリティ インフラストラクチャと透過的に統合できます。Representational State Transfer (REST) API や、数々の既存パートナーとのソリューション統合を通じて、さまざまなエンドポイント エージェント、ディープ パケット インスペクション プラットフォーム、診断調査ツールなどから送信されたサンプルを自動的に分析できます。


実用的な脅威インテリジェンス

AMP Threat Grid は、非常に正確で質の高いコンテンツ フィードを提供します。このフィードは、実用性と具体性に優れたコンテキストリッチな脅威インテリジェンスを構築するために役立ちます。強力な API を利用して、脅威情報をセキュリティ情報およびイベント管理(SIEM)ソリューション、ゲートウェイ、プロキシ、視覚化ツールなどの既存のセキュリティ テクノロジーに直接インポートし、高度な脅威の検出や対応を自動化することができます。


クラウドの威力とスケール


AMP Threat Grid は閉じたコミュニティからマルウェアをクラウド ソーシングし、静的/動的分析を含む独自の高度なセキュリティ手法に従ってあらゆるサンプルを分析します。この分析結果は膨大な数のマルウェア分析サンプルと結びつけられ、マルウェアの攻撃、組織的活動、流行に関する世界規模の視点が提供されます。セキュリティ チームは、観測された 1 つの活動/特性サンプルを他の数百万ものサンプルとすみやかに関連付け、比較することで、過去の履歴やグローバルなコンテキストに照らして、その動作を十分に理解できます。

AMP Threat Grid はクラウド ソリューションを活用しているため、ユーザは分析時に多数のサンプルを同時に送信し、重要な動作指標や脅威スコアの評価が含まれる詳細レポートを数分で受信することができます。これによって、セキュリティ チームは優先的に対処すべき高度な攻撃を見定めたり、攻撃から回復したりするための時間を短縮できます。


オンプレミスの分析


AMP Threat Grid アプライアンスは、オンプレミスでの高度なマルウェア分析を可能にし、強力な脅威分析とコンテンツをもたらします。コンプライアンスやポリシー上の制限がある組織でも、マルウェア サンプルをこのアプライアンスに送信して分析するようにすれば、組織の要件を確実に遵守できます。AMP Threat Grid アプライアンスでは、すべてのサンプルが独自の高度な静的/動的分析手法で分析されます。その結果は、組織の論理境界の外に出されることなく、論理境界の中で、膨大な数の分析済みマルウェアのアーティファクトと関連付けられます。


セキュリティ チームの強化


オンプレミスでもクラウドでも、セキュリティ チームは AMP Threat Grid を利用することで、観測された 1 つまたは数百の活動/特性サンプルを他の数百万ものサンプルとすみやかに関連付け、過去の履歴やグローバルなコンテキストに照らして、マルウェアの動作を十分に理解できます。これによって、ターゲット型攻撃と高度なマルウェアによる脅威の両方から効率的に組織を守ることができます。AMP Threat Grid の詳細レポートには、重要な動作指標や脅威スコアの評価も示されるため、優先的に対処すべき高度な攻撃を見定めたり攻撃から回復したりするための時間を短縮できます。


AMP Threat Grid がセキュリティ チームにもたらすメリット


表 1 に、AMP Threat Grid がセキュリティ チームのさまざまなメンバーの活動にどのように役立つかを示します。

表 1. 組織全体における AMP Threat Grid のメリット

インシデント対応担当者
  • 1 件〜数百件のサンプルを数分で分析
  • IP アドレス、ファイル ハッシュ、相互排他オブジェクト(mutex)、ドメイン名、レジストリ キー、URL などの情報に基づいて悪意のあるサンプルを検索
  • マルウェア サンプルをグローブボックス内で調査
セキュリティ運用担当者
  • すべてのマルウェア サンプルの脅威スコアを生成
  • すべてのアナリストにわかりやすい動作指標を提示
  • 疑わしいサンプルを自動的に分析プロセスへ転送
情報セキュリティ責任者
  • 既存のセキュリティ テクノロジーとの統合
  • 高度なターゲット型攻撃の検出を促進
  • セキュリティ チームの即応性を強化


AMP Threat Grid の有効活用をサポートするシスコ アドバンスド サービス


統合・自動化・対応

AMP Threat Grid は、現代の高度なマルウェアをより深く理解し、このようなマルウェアから組織を守るためのソリューションです。シスコ アドバンスド サービスは、AMP Threat Grid の動的なマルウェア分析エンジンを組織の環境に緊密に統合し、サンプル送信を自動化するためのお手伝いをいたします。既存のセキュリティ テクノロジーでのサンプルの自動送信や情報活用を支援することで、AMP Threat Grid の脅威インテリジェンス フィードをより迅速に利用できるようにします。


シスコが選ばれる理由


現代のネットワークの範囲はどんどん広がっており、社員がいる場所、データがある場所、データにアクセスできる場所はどこでもネットワークの一部になります。そのため、脅威の検出、理解、阻止に焦点を置いたテクノロジーの必要性が高まっています。脅威に焦点を置くとは、可視化とコンテキスト収集によって環境の変化をすばやく察知し、脅威を阻止するための発展的な対策を講じることを意味します。AMP Threat Grid は、現代の組織を守るために必要な詳細レベルの分析や脅威コンテンツの情報をもたらします。


次のステップ


AMP Threat Grid の詳細や、高度なサイバー脅威への対策として AMP Threat Grid を導入している組織の事例については、http://www.cisco.com/jp/go/amptgを参照してください。