ウォッチガード×Lastlineの標的型攻撃対策対談（1）

ウォッチガード・テクノロジー・ジャパン株式会社（ウォッチガード）が提供する「XTMシリーズ」は、セキュリティ対策に必要な機能をひとつのアプライアンスにまとめたコンパクトなUTM。

搭載する各機能は、最適な技術を組み合わせる「ベストオブブリード」の観点で選ばれている。

ウォッチガードは2014年4月、XTMシリーズに標的型攻撃対策として「WatchGuard APT Blocker」（APT Blocker）を追加した。この機能は、Lastline社のクラウド型サンドボックス技術によるものだ。そこで今回、ウォッチガードの社長執行役員である根岸正人氏と、Lastline社のカントリーマネージャである伊藤一彦氏に対談をお願いした。その模様を2回にわたって紹介する。第1回目となる今回は、最新の脅威情報から、ウォッチガードがLastlineを選んだ理由などについて聞いた。

──最近の脅威動向として気になっているものを教えてください

──根岸氏
サイバー攻撃はさまざまなメディアで報じられていますが、私が特に着目しているのは、企業を標的とした不正送金犯罪です。個人をターゲットとした不正送金は、たとえ被害に遭ったとしても、法律によって銀行が補償する場合があります。しかし、被害対象が企業の場合は、法律による保護がありません。不正送金に対応する企業向けの保険もなく、なすすべがありません。泣き寝入りするしかないのが現状です。

また、最近はいろいろな攻撃が組み合わされ、幅広くなっていると感じます。不正送金の場合、被害の入り口になる攻撃としてはフィッシングとマルウェアが多いですが、これらを含む「サイバー攻撃」という言葉の中には複数の攻撃手法があります。サーバを停止に追い込むDDoS攻撃や、ホームページの改ざん、ゼロデイ攻撃。さらに、これらを高度に組み合わせた一連の標的型攻撃もあります。こういった攻撃を、それぞれ専用機で対応しようとすると非常に大変です。セキュリティ対策に伴う投資、運用の負荷も増大しており、大変な時代になったと感じています。

──伊藤氏
私は情報セキュリティの業界に16年おります。ここ3～4年の傾向として感じるのは、攻撃を受けても気づかないというケースが増えたということです。攻撃に気づけないと、アンチウイルスベンダもワクチンの作りようがありません。最近ではシマンテックの責任者が「アンチウイルスソフトは死んだ」と発言したことも話題になりました。

世の中が便利になる反面、気をつけなければならないことが増えています。しかし、多くの企業は被害に遭うまで対策に本腰を入れないことも現状です。実際に攻撃されたときは、多くの問い合わせが来て大変なことになっていたのに、しばらくすると忘れてしまうのか、予算の問題などでセキュリティが後回しになります。基本的な意識がまだ低いと感じています。

──攻撃の対象が大企業から中堅・中小へ移ってきている傾向もありますね

──根岸氏
さまざまな種類の脅威に対して、対策をマッピングするという感覚が、中堅・中小の企業にはまだない印象があります。ウォッチガードの「XTM」にしても、「多層防御により面で守る」という言葉と価格帯から納得いただいているのが現状だと感じています。

伊藤さんの言うように、被害に遭わないとわからないのかも知れません。しかし中堅企業は、大企業とのパイプが多い反面、セキュリティが手薄であるため、攻撃者にとっては格好の標的になります。実際に経済産業省の調査においても、従業員数2,000名規模以下の企業に向けた標的型攻撃は増加しており、特に従業員数300～500名規模の比率が伸びています。セキュリティ対策の運用はさらに困難になる一方、人材はまったく足りていません。PCに多少詳しい、ルータやスイッチに詳しいといった理由で、セキュリティ対策も任されている人が多くいます。これでは十分な対策を維持することが難しいのではないでしょうか。

──伊藤氏
日本はセキュリティの人材が圧倒的に不足しています。しかし、その認識があまりなく、セキュリティの予算は後回し、技術者もいないという状況がかなり長く続いています。選択肢としては、セキュリティサービスを提供している企業に任せてしまう方法もあります。自社での対応にこだわらず、まずは安全を優先すべきだと思います。

──「XTM」の標的型攻撃対策にLastlineを選んだ理由は

──根岸氏
ウォッチガードの戦略に「ベストオブブリード」があります。多機能なセキュリティ機能を実装するときに、それぞれベストな機能を実装しようという考え方です。

XTMに標的型攻撃対策機能の搭載を検討するにあたって、Lastlineが浮かんだ背景は、Lastlineが知る人ぞ知るセキュリティ業界で歴史のある2つの技術がベースになっていたためです。それは、未知のバイナリファイルを分析するシステム「Anubis」と、Webサイトの脅威分析を行うシステム「Wepawet」です。

Lastlineはもともと、カリフォルニア大学サンタバーバラ校、ノースイースタン大学の教授陣を創業者として設立されました。設立は2011年という若い会社ですが、標的型攻撃対策に特化した専門部隊であり、技術的にも優れたものを実装した標的型攻撃対策製品の専業メーカーです。設立まで8年の研究機関を経たという裏付けがあり、技術的にもしっかりしたバックグラウンドがあって、優れた分析エンジンを持っていました。その技術をベストオブブリードに取り込みたいというところから協業の話が進みました。

実際に1社で完璧なセキュリティ機能を包括的に提供する事は難しいでしょう。たとえばメジャーなアンチウイルスベンダーではシグネチャベースでのウイルス対策の研究開発を行ってきていますが、脅威の進化や変化によって、従来のアンチウイルス技術だけでは対応出来なくなりました。

そこで、IPSやWebフィルタリング、APT対策、スパム対策、DDoS攻撃対策など、さまざまな対策が必要になりました。これらの対策のための新しい技術を開発するよりも、既にそれぞれの技術を特化して開発された技術をひとつに統合して最適化したプラットフォームとして提供する方が効率も良くなります。それがウォッチガードの戦略です。標的型攻撃対策に関して、専門ベンダーであるLastLine社と組むというのが、ウォッチガードとしてベストな方法だと考えたのです。

──Lastlineの技術を実装する際に難しかった点は

──根岸氏
協業から実装に至るまで、いろいろな契約やライセンスのスキーム、価格帯など、さまざまな要素がありました。難しい部分もありましたが、比較的早くまとまり「APT Blocker」として実装することができました。その理由のひとつに、技術的な部分でXTMがLinuxベースのネットワークセキュリティアプライアンスであったことが挙げられます。コーディングが早く、汎用的なCPUチップを搭載しているなど、実装に対応できる技術的なベースがありました。

このようにXTMでは、ベストオブブリードによるマルチレイヤのセキュリティをひとつのアプライアンスで実現しています。さらに、ウォッチガード独自の可視化ツール「Dimension」で、ブロックした理由や説明などを見やすく確認できます。これにより、顧客企業の運用負荷を軽減できます。こうした一元管理が可能なツールを標準で提供していることも、XTMの大きなメリットだと思います。APT専用のクラウドサンドボックスアプライアンスはありますが、ゲートウェイのレイヤにひとつ置けばいいという製品はウォッチガードだけです。

──ありがとうございました。