Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

ウイルス解析は自動化が進み、現在は新種の98%が自動分析可能に

〜Symantecセキュリティレスポンスマーケティング担当の香川悦子氏

 米国バージニア州アレクサンドリアのSOC(Symantec Security Operation Center)で行なわれた報道関係者向け説明会では、米Symantec CorporationのProduct Marketing Directorである香川悦子氏が、同社のSymantec Security Response(SSR)や、Symantec DeepSight Threat Management System(DTS)などの説明を行なった。


ウイルスの解析も自動化が進み、現在は新種の98%が自動分析可能に

米Symantec CorporationのProduct Marketing Director香川悦子氏
 SSRは、不正アクセスやウイルス解析を専門的に研究するセキュリティアナリストのチーム。分析対象となるデータは、同社が全世界に設置した4,300以上のデバイスや1億2,000万人のユーザーからのデータとなる。これらのデータから分析した結果を、セキュリティアドバイザリーやアラートとして情報提供するほか、ウイルス定義ファイルの更新なども行なう。

 具体的には、ウイルス定義ファイルやファイアウォールのルール、IDSのシグニチャ、コンテンツフィルタリング、スパム防御リスト、DeepSightのレポートなどを作成・提供する。

 例えば新種のウイルスが発生した場合、まず収集したデータから脅威となるインシデントを発見し、ダメージレベルや感染速度から「深刻度」を決定する。次に、Webサイトのアラート作成と並行して、ウイルス定義ファイルやファイアウォールのルール、IDSのシグニチャを作成。最後にメディアや顧客に対して情報提供を行なう、といった流れになる。

 しかし、ウイルス解析を人間が行なうと、どうしても時間がかかってしまうため、現在ではウイルス解析の自動化が進んでいるという。自動化の度合いは、2001年には90%弱だったが、現在では97〜98%の新種ウイルスが自動的に分析可能になっている。


管理者がセキュリティ情報を取得するのにかけている時間のグラフ。4時間以上が12%居る点が注目だ ウイルス解析自動化の比率。2002年初頭から急激に上昇している

パッチを適用しないでネットに接続すると、平均で15分以内にウイルスに感染

 このようなウイルス解析の自動化は、SlammerやBlasterなどの“感染速度の非常に早いウイルス”に対応するためにも必須だったという。同社が実際にパッチが適用されていないマシンを用意してインターネットに接続したところ、「平均で15分以内に何らかのウイルスに感染した」と香川氏は説明した。

 また、600台のPCを管理しているある企業では、そのうち15台のマシンをインターネットに公開していたが、Blaster発生時など“アウトブレーク”発生時には、攻撃件数が8倍に増加したという。しかし、このような緊急時でも、その会社には管理者が2人しかおらず、自社だけで対応することの難しさを訴えた。

 SSRでは今後の課題として、ゼロデイアタックを代表とする脆弱性を狙ったさまざまなタイプの攻撃に関する研究や早期アラート配信の実施、ウイルス対策ソフトやファイアウォール、IDSなどの技術を最適に組み合わせた「統合化されたセキュリティ技術」の開発などを挙げた。


管理者の41%は、セキュリティ情報を入手するために1日2時間以上費やしている

 DTSは、世界180カ国以上2万台のIDSやファイアウォールのセンサーから寄せられたイベント情報を元に分析し、早期警戒のためのセキュリティ情報を提供するサービスだ。DTSもSSRと同様に、同社ウイルス対策ソフト利用ユーザーから寄せられるウイルス関連データも分析対象となる。

 収集したデータは、「DeepSight攻撃相関関係分析&データベース」に蓄積される。データは80億以上のイベントや5,000万以上の攻撃元IPアドレスにもなる。相関関係分析データベースとは、収集したデータを統計学的に判断するためのもの。例えば、TCP4400番ポートに通常1日4,000件のアクセスがあるとすると、おおよそ3倍となる12,000件のアクセスがあった場合に“異常な状態”と判断し、アラートを発する。

 提供するデータは、ユーザーが利用しているOSやアプリケーション、利用機器の種類などを選択することによって、“ユーザーが欲しい情報”のみを得ることが可能。送信先メールアドレスも、「危険度が3以下の場合はPCのメールアドレス、4以上の場合は携帯電話のメールアドレスに送信する」といった振り分けもできる。

 香川氏は最後に、「DTSは、現在のところ主に金融機関など、早急なセキュリティ対応が必要な業界の情報担当者を中心に提供している。また、英語にしか対応していない。しかし、今後はコンシューマ向け情報サービスにも反映させていきたい」と今後の抱負を語った。


DeepSight Alert Servicesの画面イメージ。脆弱性情報や分析情報が一覧表示されている 「Category」や「Vendor」から自分が利用しているものを選ぶと、必要な情報だけを得ることが可能だ

関連情報

URL
  米Symantec Corporation
  http://www.symantec.com/


( 大津 心 )
2004/03/25 11:33

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.