セキュリティ機関研究：IBM ISS 第2回 X-Force

　世界的な情報セキュリティの研究機関として有名なInternet Security Systems（ISS）。2006年にIBMに買収されたことも記憶に新しいところだ。IBMの1部署となったものの、世界各所で情報収集、分析を行うSecurity Operation Center（SOC）、情報の分析の他機器へのフィードバックを行う研究機関であるX-Forceなど、その体制は従来通りに機能しているという。そこで今回は、日本IBMのISS事業部　テクニカル・サポート部部長である小倉秀敏氏、GTS　ITSデリバリー　セキュリティー・ソリューション　マネージドセキュリティサービスのチーフセキュリティエンジニアである井上博文氏にX-Forceについてお話をうかがった。

●インシデント情報の収集から分析、製品への適用を行うX-Force

─X-Forceについて、まずはその体制から教えて下さい

井上氏：X-Forceは、インターネットの脅威、脆弱性、攻撃の状態についてグローバルに調査・研究する、セキュリティ専門家の世界トップレベルの組織であり、分析結果や対処方法などの研究成果を、すぐさまIBM ISSの製品やサービスに反映することを目的としています。これらは「Research」「Technology」「Solutions」に分けることができます。

　基礎研究となる「Research」は5つの内容に分けることができます。まず、脆弱性について独自に研究を行う「Original Vulnerability Research」、そして公開された脆弱性情報についてスクリプトを作成して試すといった追確認を行う「Public Vulnerability Analysis」。この2つがコアな部分となります。さらに、マルウェアや攻撃ツールの分析を行う「Malware Analysis」。インターネット上で起こっている脅威や攻撃、アングラで交換される情報などを収集、分析する「Threat Landscape Forecasting」。

　そして製品の根幹となる保護技術を開発する「Protection Technology Research」の5つです。「Research」で研究、分析された結果のアウトプットとなるのが「Technology」で、製品に搭載される保護エンジンや製品のアップデート、情報提供などに反映されていきます。そして、「Technology」の内容は製品やサービス、X-Force Security Content、Integrated Intelligenceといった「Solution」としてお客様に提供されることになります。

─X-Forceの独自性はなんでしょう？

　やはり、お客様のフィールドに近いところで機能している点でしょう。X-Forceは、製品や市場に近いスタッフが製品をより良くするために研究を重ねています。そのため、横方向の連携が非常に強いことが特徴です。また、「Threat Landscape Forecasting」は、世界8ヶ所にあるSOCから15分ごとにGTOC（Global Threat Operations Center）に情報が集約されます。このため、グローバルはもちろんローカルの視点でも最新の脅威の状況を把握できるのです。

　特にアジア全体を監視している日本のSOCは、日付変更線の関係から世界で最初に情報を発信するケースが多くなっています。ワーム「Slammer」の急激な感染拡大のときもそうでしたし、SQLインジェクション被害の急増のときも同様でした。世界8ヶ所のSOC及びX-Forceは、かつてのISSが母体となっているので横連携が強く、また世界各国にあるIBMのセキュリティ研究所とも情報交換をしています。

　また、情報そのものに独自性があることも特徴です。脆弱性の情報はしばしば、一般の無名のハッカーからも発信されます。なかには発見した脆弱性と、それに対する解決策も含めてベンダに売りつけようとするハッカーもいます。買わなければ脆弱性を公表するという悪質なハッカーもいますが、当然このようなケースは受け入れません。

　しかし現状として、有名な脆弱性情報サイトを公開しているセキュリティベンダでも、情報提供をビジネスにしているハッカーやセキュリティ研究家から情報を買っているケースが多くあります。それに対し、IBM X-Forceは情報を購入しません。実際、IBM X-ForceのFAQページにWill X-Force pay for security vulnerability disclosures?（脆弱性情報は買ってもらえるのですか？）という問いがあり、No. IBM X-Force does not pay for disclosure of security vulnerability information.（購入しません）とはっきり記載されています。

IBM X-ForceのFAQページ
http://www.ibm.com/services/us/iss/xforce/faqs.html#t01

　分析レポートも独自性の強いものとなっています。X-Forceでは半年、1年の単位で「IBM ISS X-Force Trend and Risk Report」を発行していますが、日本ではアジア地域に特化した独自のレポートを提供しています。最新号も先日公開しましたが、PDFの脆弱性を悪用する攻撃やSQLインジェクションなど、上半期に話題になったものを中心に日本のSOCで収集、分析したインシデントの状況および状態の変化をまとめています。

　継続的な視点で監視しているため、攻撃手法の変化やグローバルの状況と異なる傾向なども提供できることが特徴です。特に独自性の強い部分としては、現在活発なインシデントだけでなく、収束したインシデントについても解説しています。多くのセキュリティベンダによるレポートでは、下火になったものについては解説していません。

　また、常に一定数の脅威が確認されるものには注意を払わなくなる傾向がありますが、これらも危機は危機として必ず紹介しています。この他、速報レポートやアラートメールなども危険度に応じて不定期に発行しています。脆弱性に関するデータベースを無償で公開していることも、業界貢献として大きな特徴であるといえます。

─事前防御の実績について教えて下さい

小倉氏：ここ1〜2年に公表された脆弱性では、マイクロソフトの「MS08-001」の脆弱性では…
(第3回へつづく)

【執筆：吉澤亨史】

【関連リンク】
IBM - セキュリティー&プライバシー・サービス
http://www.ibm.com/services/jp/index.wss/itservice/igs/a1010214
X-Force セキュリティー・アラート＆アドバイザリー
http://www.ibm.com/services/jp/index.wss/offerfamily/its/b1332685
SOC Report, Tokyo SOC Report
http://www.ibm.com/services/jp/index.wss/itservice_library/igs/a1010214
IBM ISS セキュリティー情報メール - Japan
http://www.ibm.com/services/jp/info/xpumail/index.html
IBM Internet Security Systems
http://www.ibm.com/services/us/index.wss/itservice/iss/a1030786
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw