マルウェアの自社分析について考える
どこまで自社でやるのか、というお話
以前の記事で、FireEyeのFlare VMについて触れました。
あのようなツール群を用いて、自社の解析チームでマルウェア解析を実施できるようにする企業が徐々に増えているようです。
情報セキュリティ分野では有名なRecruitさんの内部でもそのような動きがあるようで、少し前にまとめられていました。
各社このような動きは国内国外問わずあるようですが、実際のところどうなのでしょうね。
自社分析のメリットとデメリットは何だろう
自社分析を実施することによるメリットといえば、
- インシデント発生時の素早い対応
- 低コストでの解析
とかでしょうか。
インシデント発生時には、端末やサーバの影響範囲や不正に作成・改ざんされたファイルの特定、不正な通信の有無と通信先の特定、などの情報を速やかに入手することが必須です。
ですがやはり外部機関へ分析を依頼すると、自社直轄で行うよりはスピード感が低いのは事実。社内のシステム・ネットワーク構成を理解している人間の方が、影響範囲特定も速やかでしょうし。
コスト面も、専門機関は結構ないい値段を取るようです。もちろん契約形態にもよるんでしょうけど。
じゃあ、デメリットは何かあるでしょうか。
- 高度な知識・技術を得るための教育
- 分析結果の抜け漏れ
簡単にですが、こんな不安はありますね。
マルウェア解析は一朝一夕で実施できるような技術ではありません。動的解析にしろ静的解析にしろ、様々な解析ソフトを使いこなしながら、ある程度挙動に目星をつけるコツによって行うものです。
そうなると、セキュリティ専門企業でもないような一般企業のシステム部門に、そんな技術を習得させるほどメリットがあるかと考えると、また微妙な気がします。
もちろんそこは企業形態やいろいろな考え方もあるんでしょうけど。
習得のハードルが低くなるのなら・・・?
とはいえ、先日のFireEye Flare VMや冒頭の記事のように、マルウェア解析のハードルが低くなるような取り組みが行われているのもまた事実。また、自動解析技術も更に発達していくことでしょう。
将来的にはもっと普及して、日常的に行われているログ解析やトラフィック解析のように、マルウェアも各企業で日常的に解析されるのかもしれません。
そうなったとき、今の攻撃者と防御者の「いたちごっこ」はどう変化していくのでしょうか。期待半分、不安半分といったように思えますね。