F-Secureパートナーカンファレンス2017に行ってきた(前編)

弊社で検証している脆弱性診断ツールRadarやアンチウイルスソリューション等を展開するF-Secure社のパートナーカンファレンスに参加してきました。

今回の大きな見どころは2つありました。

1つ目は新サービスとして発表されたRapid Detection Service(以下RDS)について、2つ目は企業への物理的な侵入も行う攻撃テストのレッドチーミングというプロフェッショナルサービスのデモです。

レポートが長くなるので、上記2点を主軸に2部構成でブログを書きたいと思います。

というわけで、まずは前編としてRDSの内容を含むセミナー部分をレポートします。

開会の挨拶

• カントリーマネージャ 日本代表　キース･マーティン氏
• RDSは6月から日本でも販売開始
• 社内ではエンハンスドSOCと呼んでいる
• 様々な攻撃手法を検知し、通知する
• 通知のSLAは30分と非常に短い
• ぜひ活用してほしい

ビジネスアップデートとコーポレート戦略

• F-Secure Corporation 社長兼最高経営責任者 サム・コンティネン氏
• サイバーインシデントでの損失は4000億ドル
• エンタープライズのセキュリティ市場のトータルは80BUSDと言われている
• コンシューマーは5BUSD程度である
• 
• F-Secureは14%の成長率で、市場より早く成長している
• 市場はオンプレからクラウドに移行している
• 以前はB2Cメインだったが、2014年より方向転換し、B2Bに注力している
• 
• XaaSとの連携にも力を入れている
• 

プロダクト戦略とロードマップ

• F-Secure Corporation ヴァイスプレジデント プロダクトマネジメント担当 ジミー・ルオコライネン氏
• セキュリティのスーパーマーケットになりたいわけではない
• エンドポイントやゲートウェイをこれまで出してきた
• これからはより検知とレスポンスが大切になる
• 
• この分野に特に投資している
• 特に、マルウェアを利用しない高度な攻撃には検知のソリューションが必要
• しかし、検知は簡単ではなく、精度を上げたり予測の技術も必要になる
• マルウェアを利用した攻撃に比べて、マルウェアを利用しない攻撃は攻撃者のコストが高い分、企業側にとってのリスクも高く、対策のコストもかかる
• 
• F-Secureではセキュリティのスペシャリストの技術と機械によるエンドポイントの情報解析を併用している
• 第三者評価機関のAV TESTのアワードを5回も受賞している
• F-Secureのアンチマルウェア製品であるDeepGuardでは振る舞い検知により流行りのランサムウェアも検知している

RDS

• さらに、新しいサービスとしてRapid Detection Serviceをリリースする
• 
• RDSは企業のシステムを24/365で有人監視するとともにリアルタイムの振る舞い検知やビッグデータ解析などを併用して迅速に攻撃の予兆を検知し、30分以内に通知するサービス
• SLAとして30分以内と定義されている
• エンドポイントやネットワークにセンサーを仕込んでおき、そこから収集した情報をF-Secure側で解析し、何かあった場合には企業へ通知するという流れ

クラウドAPI

• サービスやIoTデバイスが「セキュリティ・バイ・デザイン」を簡単に取り込むことが出来るように、クラウドAPIも提供している
• 
• AWSやSalesforce等で提供している
• AWS上のAPIはマーケットプレイスから利用でき、URLの安全性の確認とカテゴライズが可能
• 1リクエストあたり$0.003と非常に安価に小規模から利用できる
• 主に不特定ユーザから取得したURLの検査などに利用できる
• 安全性としてはURLがマルウェア配布サイトやフィッシングサイトでないか等を確認する
• カテゴライズとしては、ギャンブルやアダルト等の複数のカテゴリーについて、それぞれの一致度を返す

パートナープログラムアップデート

• チャネルプログラムマネージャ 石井光夫氏

• トレーニングの拡充と資格認定の整備を行っている
• 日本語で学べるオンライン環境を整えている
• Radar トレーニングベーシックはWebから受講できる
• クラスルーム形式のアドバンスクラスもあり(有料)

特別講演 危機管理の死角 ～あなたの会社は本当に安全ですか？～

• 軍事アナリスト 小川 和久氏
• 専門は軍事だが、危機管理という面でセキュリティに通じている
• 日本は特に危機管理が苦手
• 侵入テストの事例
  • 日本の第三者機関の審査を通っていて大丈夫と言っていた企業が海外企業の侵入テストでやられた
  • 自己満足で国際基準をクリアしていなければ意味がない
• 日本では性善説で社員を信頼する企業が多いが、それはきちんと管理出来ていない無責任である
• セキュリティはCEOの仕事なので、担当部署でやらせて予算が割けない状況にしないようにする必要がある
• いざやられるとビジネスインパクトが大きいので、自分で勝手にセキュリティの判断をせず、適切な機関にセキュリティを評価してもらい、危機管理を行うことをおすすめする

感想

• F-Secureがどのような分野に注力しているかがよく分かるカンファレンスの内容でした
• 特に、既存の攻撃への対策だけでなく、新しい攻撃に対しても効果のあるRDSのサービスは、セキュリティエンジニアと機械を組み合わせた解析を行っていて、検知から30分以内に通知を行うというSLAが魅力的です
• また、URLの検査を行うことが出来るクラウドAPIは、シンプルな機能ですが安価に利用できるので、有用な場面は多いと思います
• クラウドAPIは検証してみようと思います

 

後編についても後ほど投稿します