より大規模で、巧妙な攻撃が多くなっているセキュリティ侵害。そんな新時代におけるセキュリティ対策とはどうあるべきなのか。「INTEROP TOKYO 2015」の基調講演で、パロアルトネットワークス 最高マーケティング責任者 ルネー・ボンヴァニーが現在、企業がとるべきセキュリティ対策について講演を行いました。この講演の内容をお届けします。

4段階対策で巧妙化する脅威に対抗を!

 10年前と比較し、攻撃者にとっては都合のよい環境が生まれています。SaaSアプリケーションの台頭、SNSをはじめとしたエンタープライズシステムのコンシューマ化、モバイルの進展とBYODの普及、仮想化やクラウドの普及--これらは攻撃者にとっては、つけいりやすいポイントが増加したことになります

 この事実を考えると、企業はセキュリティ対策にがんじがらめで、厳しいビジネス展開を強いられていると考える人も多いでしょう。しかし、そんな中でも大きくビジネスを拡大している企業を見ると、むしろセキュリティ対策を自社のビジネスチャンスにつなげています。「セキュリティ=攻撃を防ぐ」ではなく、セキュリティがビジネスの新しい可能性を導くものとなっているのです。

 パロアルトネットワークスが行っているビジネスも同様です。皆様の安全を保証することで、多くの企業にビジネスチャンスをもたらしています。すべてのネットワークにおいて、あらゆるデバイスを利用するすべてのユーザーを、既知及び未知のサイバー脅威から守る。きめ細かい制御によって、アプリケーションの安全な運用を可能とするのが我々、パロアルトネットワークスなのです。

 日本企業の方とお話をすると、「あなたの話は大変興味深い。しかし、日本企業には独自の部分がたくさんあるので、あなたの指摘は当てはまりません」と反応される方がたくさんいらっしゃいます。残念ながら、「セキュリティ脅威に対し、日本企業の独自性があるから当てはまらない」と考えるのは誤りです。日本企業も世界の他の企業と同様、脅威に襲われる可能性は十分あります。それを是非、知って頂きたいたいと思います。

 10年以上前に作られた製品は、現在何が起こっているのかを解明するために、限定的な可視化しかできていません。複数のセキュリティ製品を導入しても、各製品の連携は実現できていません。現在のような脅威が起こる前に開発された技術は、現在起こっている脅威対策機能を持っていないからです。
 これに対し我々の製品は現在の脅威進行中に開発を行っています。古くからのセキュリティベンダーよりも、最新の脅威とはどんなものかをよく理解しています。  10年前に作られたセキュリティ対策製品は、ネットワークの境界だけを守っていれば対策は十分だと考えられていました。現在でも10年以上前に作られた製品を作っている企業は多いものの、10年前に作られた境界対策のためのファイアウォールは、標的型攻撃(APT:Advanced Persistent Threat)、マルウェアといったものを理解していません。

 また、従来技術と新しい製品を組み合わせて利用しているケースもありますが、攻撃を受ける境界部分が古い製品のままでは、未知の脅威を止めることはできず、限られた攻撃しか防ぐことができません。

 セキュリティの異常を知らせるアラートは鳴るものの、警告が一日に1000回から、時には1万回鳴ることもあります。ノイズがどれで、注力すべきはどこなのかが分からないままのセキュリティ対策を取ることになるのです。  セキュリティ対策にあたり、エンジニアがやるべきこととはどのようなことだろうか?どのように、より良い保護を実現すべきでしょうか?
 まず認識すべきは、境界対策だけでは不十分だということです。統一された次世代型プラットフォームによって、あらゆるゲートウェイ、セグメントポイントが単一アプローチによって自動化される仕組みを作るべきです。10社のベンダー製品をつぎはぎで使っている状況では、自動的なアップデートを望むことはできません。

 実際に古いセキュリティ対策をとっていたことで、4000万枚のクレジットカード情報流出し、CIOだけでなく、CEOも退任することとなった米国の流通業ターゲット(Target)の例をご紹介します。
 この事件の犯人は、単純に境界を打ち破ることができないことを理解していました。そこで社内に入る権限をもった人間を見つけ、そこから侵入することを思いつきました。観察を続けた結果、空調設備の関連会社から侵入できることを発見し、スピアフィッシングを実施。盗んだ決済システムのログイン情報を使ってネットワークに侵入しました。
 侵入後、対象企業のネットワーク内で内部拡散し、POSマルウェアをインストールさせました。顧客データを取得するために内部サーバーを感染させて、FTP経由でC&Cサーバーに盗聴データを送りました。
 従来型ファイアウォールを導入していたにもかかわらず、それを通り抜けて侵入し、大量データが内部から送られていることにターゲットが気づいたのは3日半後のことでした。

 では、このような事態を起こさないためにはどのような対策をすればよいのでしょうか?我々の次世代ファイアウォールは、優秀な検出技術を搭載しています。エンドポイント、サーバー、データセンターいずれも個人情報を持っています。全てを守るためには、ファイアウォール、サンドボックス、URLフィルタリングと多くの技術が必要となりますが、それを実現しています。

 しかし、エンジニアの皆さんはおわかりでしょうが、それでも完璧とはいかないこともあるのです。0.1%のミスであっても、そこから脅威が入り込む可能性はあるのです。そこで境界の侵害対策だけでなく、マルウェアの侵入対策に「Traps」を提供しています。境界のセキュリティの次の対策を用意しているのです。
 それでも万が一防げないものがあったとしたら…それを考慮し、横方向の移動へ対策するソリューションを提供します。データセンターの場合には、マイクロセグメントが必要になります。全てをマイクロセグメント化しなければ、横方向の動きを止めることはできません。
 これだけ対策をしてもミスが発生することは起こり得ます。そこで最終関門として、データ流出対策を提供しています。クレジットカード情報であれば、「これはターゲット社内から出てはいけないデータである」と判断します。アウトバウンドのC&C通信をブロックします。
 この4段階の複合的な対策によって、各セグメント99.9%の精度を各セグメントで実現し、100%の精度を実現するのです。

 日本企業の皆さんは、「マイナンバー」という流出してはいけない情報をどう保護するのか、悩んでいらっしゃるとお聞きしました。さらにハードウェアベースのデータセンターから、仮想型データセンターへの移行を進める中、従来のセキュリティ対策だけでは不十分な状況にあります。
 我々のような次世代ファイアウォールを推進するベンダーが、「従来型の対策では不十分です」と申し上げても説得力がないかもしれません。そこでよく調べて頂きたいのですが、シマンテックのCEOも同じことを言っています。

 今後、ますます世界のどこかで起こった脅威の対策を、数分後に日本で対策を取っておかなければならない事態が起こり得ると思います。我々の脅威インテリジェンスクラウド「WildFire」は、1日あたり20万のアンチマルウェアプロテクションを実行し、2万5000のURLプロテクション、1万5000のDNSプロテクションを1日に実行します。15分で新しい脅威のプロテクションを自動配信します。

 新しい脅威対策導入を是非、真剣に考えてください。