米シマンテックは10月27日、ブルーコートの脅威インテリジェンスを自社の脅威インテリジェンスに統合したことを発表した。世界最大級の脅威インテリジェンスは、顧客にどんなメリットをもたらすのだろうか。今回、シマンテックのCTOに着任したヒュー・トンプソン(Hugh Thompson)博士と、ワールドワイドフィールドオペレーション担当シニアバイスプレジデントに着任したマーク・アンドリュース(Marc Andrews)氏に話を聞いた。

シマンテックとブルーコートの統合のメリットとは?

シマンテック CTO ヒュー・トンプソン博士

シマンテックがブルーコートの買収を完了したのは今年8月のこと。シマンテックが強みとしてきた、エンドポイント、メール、DLP、データセンターなどのセキュリティに、ブルーコートが強みとしてきたWebゲートウェイが加わったことで「エンドポイントからクラウド、インフラストラクチャまでをカバーした統合ソリューション」を提供できるセキュリティベンダーとなった。

8月の発表では、事業統合計画チームが両社それぞれの強みを生かすべく、企業規模とポートフォリオ、リソースを拡大させ、より堅牢でコストパフォーマンスの高いセキュリティ環境を提供するとアナウンスされた。それから2カ月たち、具体的な統合作業の1つの成果として発表されたのが脅威インテリジェンスの統合だ。

もともとシマンテックとブルーコートはそれぞれの脅威インテリジェンス「グローバルインテリジェンスネットワーク」を独自に構築し、インテリジェンスから得られる知見やノウハウをそれぞれの製品に反映してきた。今回の統合により、脅威インテリジェンスが収集するデータソースは、約1億7500万のエンドポイント、1億6300万のメールユーザー、8000万のWebプロキシユーザーにまで広がった。1日に処理するセキュリティ・リクエストは約80億件に達しているという。

トンプソン博士が統合の成果として強調するのは、これまで見逃していた脅威を確実に検知できるようになったことだ。

「新たに発見できるようになった脅威の数は1日当たり50万件だ。もし、両者が統合しなければ、この50万件は発見されないまま顧客にとっての脅威であり続けていた。私は、シマンテックとブルーコートの統合が決まった時、2つの脅威インテリジェンスが1つになることで、よりパワフルな脅威インテリジェンスを実現できると直感しワクワクした。それが実際に数字として現れたことがとてもうれしい」(トンプソン博士)

こうした新たな脅威の発見は、それぞれの製品間で情報を共有することで可能になったという。例えば、ブルーコートのセキュアWebゲートウェイ「ProxySG」で発見されるマルウェアや悪意のあるURLの情報は、シマンテックの「Symantec Endpoint Protection」や「 Norton Security」と共有される。一方、Symantec Endpoint ProtectionやNorton Securityで発見されるマルウェアや悪意のあるURLは、ProxySGと共有される。ちょうどそれぞれの製品が補い合うように脅威インテリジェンスを強化した格好だ。

世界最大級の脅威インテリジェンスの意味するところ

「脅威インテリジェンスの統合は極めて補完的だ。わかりやすいのは、シマンテックのDLP製品とブルーコートのCASB製品の連携だろう。DLPはオンプレミス環境でのデータ損失を防止する。一方、CASBはクラウド環境でのアクセスを管理する。統合することで、オンブレミス環境で作成してきたファイル管理のポリシーを、クラウド上のDropboxやBox、OneDriveなどに適用できるようになる」(トンプソン博士)

脅威インテリジェンスの統合は、ユーザーにとっても大きなメリットとなる。両社の製品は、Fotune 500企業の70%に採用されている。そうした企業に対して行われた攻撃や脅威の情報は、すべてのユーザーのエンドポイント製品やゲートウェイ製品に反映される。主要企業に対する攻撃をブロックできる知見やノウハウをそのまま利用することができる。「これは顧客にとっての大きな価値だ」とトンプソン博士は強調する。

そのほか、インテリジェンス統合の成果として、香港の犯行グループが企てていた新しいキャンペーンを検知したことや、金融機関のATMやSWIFTネットワークを対象にしたキャンペーンも検知したこともあるという。今後は、さらに統合の密度を高める予定だ。

「統合はまだ完全ではない。顧客の利用状況に合った脅威インテリジェンスの提供していく必要がある。例えば、クラウドサービスを利用する場合、社内のProxyやWebゲートウェイを介さずにパケットがインターネットに流れていくケースがある。そうしたトランザクションもCASBできちんとつかまえて、脅威インテリジェンスとして共有していく必要がある」

トンプソン博士は、フィッシングサイトを機械的に判断するためのアルゴリズムの開発にも関わっている。この取り組みは、既知のフィッシングサイトのスクリーンショットを取得し、画像に対してディープラーニングを行うことで、新たなフィッシングサイトが登場した時に素早く検知するというものだ。すでに13万7000件のフィッシングサイトを発見するなど実績を上げている。こうした事情を見ると、応用数学を専門とするトンプソン博士がシマンテックCTOに着任したこと自体が、シマンテックとブルーコートの統合の成果の1つと言っていいかもしれない。

実際、トンプソン博士は「脅威インテリジェンスの統合は、テクノロジーが統合したことが重要なのではない。そのインテリジェンスを活用する人の統合こそが最も大きな成果だ」と強調する。セキュリティリサーチャーは、700人規模と世界最大級であり、エンジニアも2500人規模だ。研究開発をいっそう推し進め、グローバルレベルで発生する脅威に対抗していくという。