Sandboxを平気ですりぬけてくるマルウェアは存在します。OSのディビジョンやアプリケーションの組み合わせは無限にありますから、端末数が多ければ多いほど、そこにぶらさがっているホスト全部を仮想環境でエミュレートするなどということはできません。
また、SIEMはログを生成して相関分析するわけですから、そもそもそれを検出するセンサーが必要です。たとえあらゆる脅威に対してセンサーを置いても、自社環境やポリシーに合わせたルールセットをたくさん作る必要がありますし、インシデントが増えれば当然ハンドリングできなくなるので、絞り込むためにルールセットのチューニングをし続けなければならない。
もちろんこれでまだ充分回っているところが日本ではほとんどだと思いますが、失礼ながらこれをエンドレスにやっていくことは無理ですよと、早晩破綻しますよ、と我々はお客様に申し上げています。その意味でVectra Networks社製品は三年から四年、需要を先取りしていると思っています。
──Vectra Networks社製品はいったいどんな技術で何をするのですか?
坂口は、本インタビューと趣旨を同じくする講演を、過日当誌でも取材した、日本シーサート協議会設立10周年記念カンファレンス「NCA 10th Anniversary Conference『絆』~CSIRTの襷をつなげ」で行った。詳細は講演資料を参照いただきたい。
坂口のエネルギーあふれるメッセージや、Vectra Networks社製品の機能やアーキテクチャの詳細を記載した講演資料は、現在ScanNetSecurityのホワイトペーパーアーカイブからダウンロードすることができる。
ダウンロードは基本情報の登録のみであり、坂口自身「導入先を選ぶ製品」と断言している。インタビューにあるような超先進対策を行っている企業はもちろん、それ以外の企業にとっても長期的なスパンでの製品選びに参考となる資料を、三年後四年後ではなく今、是非ScanNetSecurity読者に目を通してほしい。
・日本シーサート協議会設立10周年記念カンファレンス講演資料 フリーダウンロード
「情報戦のサイバー攻撃にどう挑むのか?アルゴリズムによるハンティング手法のご紹介」
