2014年3月24日に米国で掲載されたブログ記事の抄訳です。

私たちはCyvera(サイヴェラ)の買収と、既に買収したMorta Security(モルタセキュリティ)の技術によって、パロアルトネットワークスプラットフォームとして、1つのインターフェイスを通してホストからネットワーク全体に対し、キルチェーンによる検知やブロックのポリシーを設定する機能を提供する最初の商用システムになるだろう。

さらに、今日のサイバーセキュリティソリューション水準で、他のセキュリティベンダーのポイント製品を複数並べるのと比較して数分の一の費用で同等のものを導入することができます。

これがあなたにとって何を意味するのか、詳しくお伝えしましょう。

概要

私が昨年秋にパロアルトネットワークスのCSO (チーフ・セキュリティ・オフィサー) 候補として面接を受けたとき、社内のすべてのシニアリーダーのところへ行きました。そこでリーダーたちから一貫して受けた質問は「パロアルトネットワークスのデスクトップセキュリティ戦略をどうするべきか?」というものでした。

彼らは長い間この命題を検討しており、いくつかの手段を採用する準備をしていました。私は、サイバーセキュリティの歴史の中でこの特別なタイミングで、この会社と関われた幸運が信じられませんでした。

破壊的な変革の時が来ている

ここ数年、私は企業を守る手法に関してパラダイムを変革するサイバーセキュリティ・コミュニティの必要性を提唱してきました。古い境界防御の概念は終わった考えであり、複数のベンダーによるポイントベースの製品で導入された限定的なシグネチャモデルは期待通りに動いたためしがありませんでした。
DIB (Defense Industrial Base; 防衛産業基盤) やFS-ISAC (Financial Sector Information Sharing and Analysis Center; 金融情報サービス共有センター) のような高度な組織は従来のモデルから脱却し、会員企業を攻撃する様々な敵に対してIOC (Indicators of Compromise; 脅威が存在することを示す痕跡) を開発することによる防御のキルチェーンモデルに移行して成功している。

これらの組織によると、最終目的とその目的を達成するために設計された攻撃計画に関して、背景を考慮せずに敵の行動を戦術的に発見したり、潜在的なブロックを行ったりすることは、良くても非効率、通常は完全な失敗である事を学びました。
そのため、彼らはより戦略的なアプローチを学んでいます。彼らはホストを含むキルチェーン全体のIOCを開発し、加盟団体とそれらを共有して敵の攻撃計画の兆候を探し出すことで、攻撃計画を検出する方法を考えだしました。

DIBやFS-ISACが成功している理由の一つは、会員組織の多くがこの取り組みに多大なリソースを投じているということです。彼らは資金と人員を費やすことで、構築された数十ものさまざまな技術によって生成された大量の情報を利用することができました。当社のワールドワイド・フィールドオペレーション担当上級副社長のマーク・アンダーソンは、「企業全体に渡って導入されたセキュリティベンダーのポイント製品を複数並べた防御線」と称しています。

これも悪くはありません。ただ、彼らの専門知識と成功にも関わらず、全体のプロセスがあまりにも難しいということ、すべてを同時に配置するには十分な資金力がある組織に依存しており、予算や高度な専門知識などを持たない組織に対してはまだ何もする術がないということです。

思考のシフト

当社のサイバーセキュリティ・コミュニティは、受動的に相互に連携してもしなくてもよい複数のポイント製品を使用することは、誰もが企業を守るために必要とするソリューションであるという概念を受け入れました。しかし我々が見てきたように、これは事実とはまるでかけ離れています。キルチェーンモデルを理解する最善方法は、それがシステムであるということです。そのため、その防御はシステムとして管理する必要があります。

私がパロアルトネットワークスで働きたいと思った理由の一つは、サイバーセキュリティ・コミュニティ・スペースのすべてのベンダーの中で、パロアルトネットワークスはリーズナブルな価格で真のシステムソリューションを提供する唯一の企業である、ということです。次世代エンタープライズ・セキュリティプラットフォームは、一回のデータ処理パスで防御決定を行うようにゼロから設計されたインライン・ボックス一台で、キルチェーンのすべての階層の可視化を提供し、ポイント製品の組み合わせに比べて導入および管理コストが数分の一しかかかりません。

DIB企業のCISOとして前職で私は、多くのポイント製品を導入していました。これは高価で複雑で、敵に隠れる場所を多く与えたため、このような複雑さは私たちに害を及ぼすと常に考えていました。パロアルトネットワークスのソリューションは、その複雑さを軽減します。私は「これだ」という組織で働けることに興奮しました。

今や我々は次のステップに来ています。CyveraとMortaの買収について詳細をお伝えしたいと思います。これまで、我々はホスト上での敵の活動は、推測するしかありませんでした。言い換えれば、我々はホストと直接接していませんでした。これまで、すべてのドキュメントのコピーをパロアルトネットワークスのプラットフォームからクラウド内、または顧客サイトに置かれたサンドボックスへ渡して、悪意ある実行可能コードのステージ1およびステージ2の配信を検出するWildFireサービスによって、当社のプラットフォームは悪意あるコードがホストにインストールされた場合どうなるかを推測することはできました。しかし、悪意あるコードが実際にホスト上で何をしたかを直接見ることはできませんでした。

Cyveraの買収により、この構図は変わります。パロアルトネットワークスのプラットフォームにCyveraの技術を統合すると、単に悪意あるホストの活動を推測するにとどまらず、我々はそれを直接見ることができます。さらに、買収したMortaの技術を組み合わせることで、パロアルトネットワークスのプラットフォームは1990年代初頭にファイアウォールのアイデアが出現して以来の機能だけではなく、特に脅威防御のために設計されたもっとも革新的で優れた商用サイバーセキュリティソリューションになります。

まとめ

我々のサイバーコミュニティ、我々の業界、そして特にパロアルトネットワークスにおいてエキサイティングな時となりました。過去10年間、最先端の思想家 (DIBやFS-ISACのような組織) を中心に浸透されてきた優れたなアイデアを市場に展開する最先端の組織に関われる喜びは言葉では言い表せません。