ユーザが答える！脅威インテリジェンスのThreatSTOPを採用するべき理由

脅威インテリジェンスやスレットインテリジェンス、脅威情報など様々な言い方がありますが、数年前から脅威インテリジェンスの活用が日本で広がり、様々なセキュリティベンダーが自社の脅威インテリジェンスをリリースし、自社製品と連携させています。

NVCが代理店をつとめるThreatSTOP社も、脅威インテリジェンスを専門に扱うベンダーの一つです。

ThreatSTOPのインテリジェンスの特長は、

• インシデント発生後ではなく、攻撃に対する防御に利用できること
• 様々なファイアウォールやDNSサーバと連携しているので、既存で導入されている製品と連携ができること
• 世界中の大手キャリアがサービス基盤に採用するほどインテリジェンスの精度が高いこと

などが上げられますが、これだけがThreatSTOPを使い続けている理由なのでしょうか？
実態を知るべく、現在ThreatSTOPを使用しているお客様に調査を行ないました。
※2017年ThreatSTOP Inc.実施

参考記事：DNSサーバのリプレースで実現するDNS Firewall

ThreatSTOP製品の、最も高く評価しているポイント

セキュリティ強化を目的に導入いただいたThreatSTOP。
実際にユーザが満足しているポイントは、それだけではありませんでした。

1位：ネットワーク機器のポリシーアップデートの自動化を実現できること
（回答率 95％）

社内にたくさんあるネットワーク機器。そのポリシーアップデートを最後に行なったのはいつだったか、覚えていますか？導入後一度も変更したことが無い。そんな方もいるのではないでしょうか。

ThreatSTOPを導入すると、ThreatSTOPが最新の脅威状況に合わせた脅威IPアドレス/ドメインの情報を自動でファイアウォール/DNSサーバと連携させ、ポリシーをアップデートします。最短15分間隔でポリシーアップデートを自動で行なうことが可能になります。

2位：プロアクティブな防御を実現できること（回答率 80％）

SIEMと連携させて社内ネットワークに侵入してきた攻撃者の通信を検知する、そんな脅威インテリジェンスの使い方も多く見ます。
ThreatSTOPはそれだけでなく、ゲートウェイのファイアウォールと連携できるので、攻撃者の通信が、社内ネットワークに入り込もうと、通信を開始してきた時点からブロックすることができます。脅威インテリジェンスを侵入後の検知ではなく、侵入前の防御に使用できるのもThreatSTOPの特長です。

3位：脅威インテリジェンスの精度が高いこと（回答率 67％）

ThreatSTOPは世界各国の大手通信事業者で採用されており、その制度は折り紙つきです。
情報システム担当者も、問い合わせの殺到を心配することなく、導入することができます。

その他：
ポリシーをカスタマイズできること（回答率 60％）
業種や、業務内容によって、特に注意しなければいけない脅威も変わります。ThreatSTOPは攻撃手法やマルウェアの種類でカテゴリ分けしたリストを用意しています。リストを選択するだけでポリシーをカスタマイズすることができます。

新しくハードウェアを購入する必要が無いこと（回答率 60％）
ThreatSTOPは米国製の主要なベンダーのほとんどに対応しています。
現在所有しているファイアウォールやDNSサーバに導入することが可能です。

攻撃を受けて感染している機器を特定できること（回答率 60％）
マルウェアやマルウェアのダウンローダーに感染したPCは、情報を流出させたりしようと、外部と通信を行います。ThreatSTOPはファイアウォールもしくはDNSサーバに連携させれば、外部向けの通信もチェックし、ブロックします。ThreatSTOPのレポート機能は宛先IPだけでなく、送信元IPも見ているので、マルウェアに感染して情報流出をさせようとしている端末を特定することが出来ます。

ThreatSTOPを導入してよかったこと

100％の回答率で1位に輝いたポイントが2つありました。

同率１位：マルウェアに感染する端末が減ったこと（回答率 100％）

本来のThreatSTOPの導入の目的が果たされた、ということですね。過去に犯罪歴のあるIPアドレス/ドメインとの通信をブロックしてしまうので、セキュリティレベルの向上に役立ちます。

同率1位：悪意のあるトラフィックをゲートウェイでブロックすることで、帯域の有効活用ができるようになったこと（回答率 100％）

攻撃者との通信を全て通信開始段階からブロックするので、帯域を無駄に信用する心配はありません。

その他：DNSサーバに対するセキュリティを強化できたこと（回答率 50％）

アメリカではDNSサーバのセキュリティの重要性が認知されてきていますが、日本ではどうでしょうか。サイバー攻撃の95％はどこかのタイミングでDNSの名前解決を利用しているといわれています。ThreatSTOPであれば、シンプルにDNSサーバのセキュリティを強化することができます。

[RELATED_POSTS]

番外編：みんな知らないけど！ThreatSTOPのおススメ機能

ユーザの認知率は低いものの、ThreatSTOPがおススメしたい機能をご紹介します。

実は、ThreatSTOPがブロックした攻撃のうち、75％はThreatSTOP社のリサーチチームが独自に作成した脅威リストによってブロックしいていること

ThreatSTOPの創業者は元米軍のサイバーセキュリティ担当。創業者だけでなく、ThreatSTOP社のエンジニアの多くに軍でのサイバーセキュリティの経験があります。
彼らにしか流れてこない情報など、ThreatSTOPだからこそ調べられる脅威インテリジェンスがあります。

実は、様々なサードパーティ製品の脅威インテリジェンスと連携できること

セキュリティベンダーが様々なサードパーティベンダーとの連携を発表しています。ThreatSTOPも例外ではありません。ThreatSTOP単体で使用するのではなく、自社や業界で所有しているインテリジェンスも、ThreatSTOPと連携させて管理することができます。

実は、カスタマイズした内容でメールレポートやアラート通知を設定できること

ThreatSTOPのレポート機能では様々な条件でカスタマイズして、メールレポートやアラート通知を送ることができます。自社の要件にあわせて、必要な通知のみを受けられるようになります。

ThreatSTOP製品について

脅威インテリジェンスの専門ベンダー、ThreatSTOPは様々な手段で使用できるよう、様々な手段で脅威インテリジェンスを提供しています。
セキュリティの強化やポリシーアップデートの自動化、SIEMやEDRと連携した脅威のあぶり出しなど、様々な目的に利用することができます。
強力かつシンプルな脅威インテリジェンス。是非、ご検討ください。