マルウェア情報の標準化

セキュリティ業界では、業界企業間の情報交換を迅速化しようと、新たなXMLフォーマットを策定しています。作業は米国電気電子学会(IEEE)の監督の下、ワーキング・グループ「Malware Working Group」が「Industry Connections Security Group(ICSG)」活動の一環として実行しています。グーグルで「IEEE」と「ICSG」を検索すれば、IEEE ICSGのリンクが最初に表示されるでしょう。 今回はその取り組みについて取り上げます。

Malware Working Groupは複数のセキュリティ企業から約20人が参加し、XML標準案の策定に従事しています。このXMLフォーマットはシンプルな上、柔軟性が高く、既にウイルス対策ソフト・ベンダー4社がマルウェア流行状況を示すメタデータのやり取りで使用中です。メタデータを共有する企業/組織が増えれば、マルウェアの交換に手間がかかっていたことなど過去のものとなり、脅威情報をリアルタイムに交換する時代へと変わるでしょう。

マルウェア・サンプルとドメイン、IPアドレスの関係を示す情報を交換することで、インターネット・ユーザー全員のセキュリティ改善につながる無限の可能性が開けます。

このXMLフォーマットを使用すると、特定のマルウェア作成グループが配布したマルウェアやドメイン/IPアドレス使用履歴を漏れなく記述したり、マルウェアがパソコンに感染する方法まで表現したりすることができます。その上、高速な自動分析に適した、あいまいさを排除した記述が行うことが可能です。

非常に単純なマルウェア流行状況のデータをやり取りする簡単な情報交換でも、大きなメリットが得られます。

  • ウイルス対策ベンダーは、調査作業待ちのサンプルに優先順位を付けることができます。
  • 試験機関は、より有効性の高い内容の試験を作成することができます(例えば、古くて珍しいサンプルの重要度を下げることができます)
  • システム管理者は、整った現場報告書をウイルス対策ベンダーに提出し、インターネットの安全向上に役立ててもらうことができます

このXML形式メタデータの例を以下に示します。

マルウェア情報交換用のXML形式メタデータ

XML標準に興味がある方は、完全なXMLスキーマ(XSD形式)を入手してみるとよいでしょう。

※本ページの内容はMcAfee Blogの抄訳です。
原文:Malware and standards – is it possible?

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。