商社が立ち上げたサイバーセキュリティ研究センター…経緯・成果・課題
エンタープライズ
その他
/
──トレンドマイクロのようなアンチウイルスベンダや、LACのようなSOC事業を営む企業の多くは、ラボと呼ばれる研究機関を擁していますが、マクニカネットワークスのような商社、主に販売を担う企業によるラボ設立はあまり聞いたことがありません
政本
標的型攻撃のような脅威に直面して、これまでのように、アンチウイルスやIDS/IPS、WAFなどの製品別ではなく、サイバーセキュリティを軸として、お客様と包括的な対話ができる部署が必要だという痛切な認識があり研究センターを設立しました。
──研究センターのミッションと体制を教えて下さい
政本
マクニカネットワークスの強味である、McAfee、FireEye、Imperva、Blue Coat、Radware、CrowdStrike 等のトップクラスのセキュリティ企業のラボや、世界有数の専門家とのパイプを活かし、APT(Advanced Persistent Threat)にフォーカスして、主に海外のセキュリティトレンドや脅威動向を日本のお客様へ届けることをミッションとしています。現在は少人数の体制ですが、研究調査や情報収集を目的とする部門が設立され、専任担当者がついた意味は大きいと思います。
──研究センターの凌(しのぎ)さんは、海外の情報収集の一環として、今夏ラスベガスで開催された、Black Hat USA 2013 Arsenal に応募して、自作のボットプログラムのブース展示を行ったそうですね。「Arsenal」に展示した日本人は一人だったとか
凌
毎年参加している Black Hat USA に今年もWebから登録しようとしていたら、「Arsenal」というCall for Paper (論文や講演等の公募)を行っているのをたまたま見つけまして。ダメ元で、振る舞い検知型の製品の検証用に用意した「ShinoBot」というボットプログラムを応募してみたところ審査を通ってしまいました。
「ShinoBot」は私がIPS製品を扱っていた際に、ボットネットから攻撃を受けた場合、IPSがどう検知してどうブロックするか、具体的な攻撃シミュレーションをやってみたくなってスクラッチで自作したプログラムです。
──Black Hat の来場者の「ShinoBot」反応はいかがでしたか
凌
去年まで自分は、講演や展示を見る側、聞く側だったので不安もありましたが、次々と来場者の方がブースを訪れて、説明をしたり、質問されたりしました。オープンソースにして欲しいなどの具体的な要望をいただいたりもして、有意義な展示になったと思います。何より、自分のツールをたくさんの世界の人が見てくれたことは嬉しかったですね。
──セキュリティ研究センターの調査や研究の成果はどのように発信していくのですか
政本
センターのブログで不定期ではありますが情報発信を行っていくほか、外部での講演等を行っていきます。11月26日と12月10日に開催されるサイバーセキュリティに関するカンファレンスでも、講演を予定しています。
──講演の見所を教えて下さい
政本
基調講演Iでは、既存のセキュリティインフラではAPT攻撃を防ぐことはもはやできないことをご説明して、そのうえで、攻撃者との長期の戦いに勝利していくために、たとえばマルウェア感染端末を単にクリーンインストールして駆除を完了させるのではなく、マルウェアの解析から次の対策に結びつく情報を得る方法など、インシデントレスポンス寄りのお話をする予定です。近年は、エンドポイント向けのツールが出ることで、フォレンジックの敷居も大きく下がっています。
基調講演IIでは、主に公開サーバへの攻撃をとりあげます。今春多数の被害が報告されたパスワードリスト攻撃がありますが、実際にパスワードリスト攻撃を受けたログをもとにして、Splunk でログ分析を行ってわかった攻撃の傾向や動態などを発表できる予定です。
凌
私の講演では、APT対策専門企業であるCrowdStrike社のエンドポイントのソフトウェア「Falcon Host」およびインテリジェンスサービスを使って、IPアドレスやマルウェアの種類、感染時にアクセスされたファイルの内容などから、サイバー攻撃をしかけてくる攻撃者を特定し、関連情報を活用するというお話を予定しています。
──セキュリティ研究センターの今後の抱負を聞かせて下さい
政本
製品販売するという弊社のこれまでの柱となるミッションを超えて、サービス的な付加価値の提供を、セキュリティ研究センターが担っていければと考えています。
──ありがとうございました
[インタビュー]商社が立ち上げたサイバーセキュリティ研究センター
《編集部@ScanNetSecurity》
特集
この記事の写真
/
