【インタビュー】「日本を守らないと」、標的型サイバー攻撃に取り組む危機感(ソリトンシステムズ)

標的型サイバー攻撃の登場は「従来の情報資産保護の常識」を崩し、発想の転換が求められる大きなインパクトになったと指摘する株式会社ソリトンシステムズ。同社では、長年、エンタープライズで求められるセキュリティ対策製品を自社開発し、海外の先進的な製品も取り入れながらセキュリティ対策に取り組んできた。今回は標的型サイバー攻撃とその対策について、同社のプロダクトマーケティング部部長である荒木粧子氏に話を聞いた。

――ソリトンは「標的型サイバー攻撃」をどのように捉えていますか？　従来の攻撃とは何が違うのでしょう。

昨今のサイバー攻撃が、従来の攻撃と全く異質だとは考えておらず、延長線上にあるものだとは思います。しかし、パターンファイルやシグネチャでの対策が通用しない攻撃が増えるなどいくつかの大きなポイントがあると捉えています。

例えばこれまでは、リスク管理上、クライアントよりもサーバのほうが重要な情報資産であるとして、サーバの保護を優先することが多かったのですが、昨今のサイバー攻撃は、クライアントの脆弱な部分を狙ってコード実行型の攻撃を仕掛け、そこを足がかりにサーバなどを攻略してきます。「サーバだけ守ればある程度のセキュリティが担保できる」と思われてきた従来の保護手法が成り立たなくなったことで、守る側も発想の転換に迫られています。

また、従来の「感染を未然に防ぐ」対策だけではなく、「感染を前提に出口で被害の拡大を防ぐ」対策が必要になったことも意識改革が求められる点と言えます。

――標的型サイバー攻撃の発生を受けて、お客様の動向や要望に変化はありますか？

標的型サイバー攻撃に対しては、身近にひしひしと感じていらっしゃるお客様と、まだ「対岸の火事」と思っていらっしゃるお客様があり、その温度差、ギャップは大きいものだと感じます。アーリーアダプタともいえる「ひしひし派」のお客様は、具体的な予算を組んでコンサルティングレベルでご相談いただくこともあります。

こうした「本気度が高い」印象を受けるのは、業種では公共、金融、製造、製薬など、企業規模では従業員数万単位を超えるお客様に多いと感じます。一方「対岸の火事派」は、これからも従来の手法で通用すると考えていらっしゃるようです。

――標的型サイバー攻撃にはどのような対策が有効だと考えていますか？

標的型サイバー攻撃の「入口」「出口」対策として、ソリトンで豊富な提案・構築実績を持つシスコシステムズの「IronPort ESA/WSA」をご提案しているほか、「内部」対策としては、「FFR yarai」のマルウェア対策エンジンを利用し、エンタープライズ向けに機能追加した自社ブランドのマルウェア対策ソフトウェア「Zerona」をお勧めしています。

標的型サイバー攻撃に「ずばり効くもの」が求められるようになったため、セキュアなWebプロキシ＆脅威監視製品「IronPort WSA」のお引き合いは急増しています。従来型Webプロキシと異なるのは、世界最大級と言われるシスコシステムズの脅威情報提供システム「SIO：Security Intelligence Operations」を参照し、アクセス先のWebサイトの安全を判断するレピュテーションフィルタを搭載している点です。カテゴリベースでアクセス制御を行う従来のURLフィルタでは困難だった、危険かどうかの判断がつきにくいグレーなWebサイト、いわゆるダークサイトにも対応できるのが特長です。

Webプロキシ機能だけではなく、外部へ出ていく全トラフィックを可視化し、「SIO」の脅威情報を参照しながら、不正な通信を検知・ブロックする「L4トラフィックモニタ」も搭載しています。従来の外部からの侵入対策（入口対策）だけでなく、外部へ出ていく通信の脅威検知とブロック（出口対策）も可能で、標的型サイバー攻撃対策として有効です。ネットワーク構成変更無しに現状把握ができるため、まずは「L4トラフィックモニタ」を実機で評価を希望なさるお客様が多いです。

昨今のサイバー攻撃と連動するように、スパムやマルウェアメールの流量も増加しており、メールセキュリティアプライアンス「IronPort ESA」で対策なさるお客様も増えました。

また局所的な標的型サイバー攻撃対策だけではなく、全方位的な内部セキュリティ対策として、PCログインの二要素認証の「SmartOn ID」やPC操作ログの「InfoTrace PLUS」などもあわせてご提案するよう心がけています。どんなにPCを堅牢化しても、簡単に部外者がPCにログインできてしまっては本末転倒ですし、インシデント発生時にもPC上でどういう操作を行ったのかを後から追跡できることで、すばやい対策を打つことができます。昨今の攻撃に対抗する免疫力を高めるためにも、セキュリティポリシーに照らし合わせて基本に立ち返ることが重要と考えています。

――「Zerona」の開発の経緯について教えてください。

ソリトンは標的型サイバー攻撃に特化した新しいソリューションとして、当初はFFRI（株式会社フォティーンフォティ技術研究所）様の「FFR yarai」の再販を検討していました。しかし、長年エンドポイント向けセキュリティ製品を開発、販売してきた経験を生かし、自社製品としてマルウェア対策を提供したいという思いも強くありました。そこでyaraiエンジンを使い、標的型サイバー攻撃に対抗するマルウェア対策ソフトウェア「Zerona」が誕生しました。

昨今のサイバー攻撃の問題は、攻撃の高度さ・複雑さだけではなく、現場側の問題に起因することも多々あります。例えば、折角の高機能なセキュリティ対策も、運用や管理が追いつかないと、宝の持ち腐れになることもあります。長年ITセキュリティに関わってきた企業として現場の実情を知っているだけに、私たちがセキュリティソリューションにおけるこうした課題を解決しなければ！という使命感がありました。FFRI様のご協力もあり、ソリトンの技術メンバーも大変気に入っていたyaraiエンジンで、私たちのこうした思いを反映した「Zerona」という純国産ソリューションができたことを嬉しく思っています。

「Zerona」プロジェクトは、2011年末から始まり、2012年2月にファーストバージョン、8月に次バージョンをリリースできました。最新版では、運用・管理面を強化しており、当初目標としていた、現場の実情にあったご提案ができる製品に一歩近づけたのではないかと思っています。

――「FFR yarai」と「Zerona」の違いはなんですか？

「Zerona」には、「FFR yarai」のマルウェア対策エンジンに加え、ソリトンのエンドポイント製品の経験を活かして導入・運用などの管理機能を中心に追加しています。「Zerona」はソリトン独自の集中管理サーバで管理する方式になっており、予めライセンスやポリシー設定などの情報を含めた状態でクライアントにインストールできるようにしました。細かいことですが、大規模環境におけるクライアント展開と管理は、ちょっとしたオペレーションであっても膨大な工数になることもあるため、管理者の負荷を少しでも低減する機能などを追加しています。

また、クライアント側で、マルウェアの疑いありとして検知されたファイルを、管理者側から駆除・取得する機能も追加しています。これも複数の拠点を持つエンタープライズ環境を想定した機能です。検体を回収したくても、専門知識を持たないユーザには依頼できず、わざわざPCごと回収しているケースもあるため、こうした運用負荷を下げることが目的です。ライセンス管理においても、サブスクリプション期限が近づくと管理者に自動通知することで、うっかり失効を防ぐ工夫を施したほか、スケーラビリティも強化しています。今後も各種機能追加や海外展開も視野に入れて、さらなる強化を計画しています。

――最後に読者へのメッセージをお願いします。

昨今のサイバー攻撃の深刻さを目の当たりにし、ソリトンは、ITセキュリティにおいて「日本を守らなければならない」という危機感を抱いています。お客様の中には、一部のセキュリティ企業やメディアが過剰反応しているだけではないかという疑念をお持ちになる方もあります。確かに市場トレンドに流されないよう慎重になるのは良いことだとは思いますが、かといって「対岸の火事」として片付けられるものでもなく、小手先の対策では太刀打ちできないため、いまこそ真剣に、昨今のサイバー攻撃にも対抗できるセキュリティ対策に取り組む必要があります。まだまだ「対岸の火事」とお考えになられているお客様に対しては、このことをお伝えしていきたいですし、現状を把握なさっているお客様には、最適な対策を提案していきたいです。技術面の強さは自負しているので、まずは何でもお声掛けいただき、日本の企業・組織のITセキュリティに少しでもお役に立てればと考えています。

――ありがとうございました。