[Security Days 2015 インタビュー] 未知の脅威を防ぐ予測型の脅威インテリジェンス（ウェブルート）

3月5日から2日間にわたって東京 JPタワー（KITTE）で開催される「Security Days 2015」は、国内外のセキュリティベンダーによるセミナー中心のイベントだ。多くの企業や専門家が最新知見の講演を行う。

3月5日に「重いアンチウイルスよ、さらば！クラウド型セキュリティでPC負荷と決別」、および3月6日に「NGFWやSIEMを強化するウェブルートの脅威インテリジェンス」と題した講演を行う、ウェブルート株式会社製品・技術本部辻昭太氏と、中村多希氏に話を聞いた。

――まず、ウェブルートという会社についてどういう会社なのか簡単に教えてください。

辻氏
1997年に米コロラド州で創業したセキュリティベンダーです。当初はコンシューマ向けのスパイウェア対策製品を主に手掛けていましたが、現在はコンシューマ向けに加え、企業向けにエンドポイントセキュリティと脅威インテリジェンスを提供しています。日本への進出は2005年です。

――もう10年以上、国内でビジネスを展開しているのですね。ソリューションの特徴などはありますか。

中村氏
弊社製品の特徴は、100%クラウド型であることです。世界中から収集したセキュリティ情報をクラウド上で機械学習により分析し、予測型の脅威インテリジェンスとして、ネットワーク機器ベンダ、セキュリティベンダ、モバイルソリューションプロバイダーなどに対してリアルタイムにOEM 提供しています。また、企業内のNGFW（次世代ファイアウォール）やSplunk などの SIEM （統合情報セキュリティ管理システム）製品と連携してセキュリティを強化するソリューションも提供しています。アンチウイルスに関して言うと、定義ファイルをローカル上においてスキャンする従来のものと異なり、ハッシュベースのクラウドスキャンを行うことによりダウンロードやスキャン作業によるPCへの負荷がなく、管理コストや社員の生産性向上を実現しています。

――昨今の企業セキュリティの対策動向をウェブルートはどう見ていますか。

辻氏
よく言われていることですが、クラウドコンピューティングやモバイルデバイスの普及は、企業におけるセキュリティの考え方を変えてきています。以前は、インターネットとイントラネットの境界にファイアウォールを設置して、PCやサーバーにアンチウイルスソフトをインストールする対策が基本でした。しかし現在そのような対策では防ぎきれない攻撃が増えています。

――攻撃側の変化についてはどうでしょうか。

辻氏
これも近年話題となっていることですが、攻撃や脅威の質が変わってきています。ハクティビズムやサイバーテロのような攻撃が増えているという話もありますが、現在のサイバー攻撃のほとんどが金銭目的といえます。アカウント情報や個人情報の漏えいも、データの売買・不正送金など最終的には金銭や経済的な動機に行き着くでしょう。金銭や犯罪がからんでくると、攻撃も組織化されたり周到なものになります。いわゆる標的型攻撃と呼ばれるような、ターゲットを絞った形の攻撃が企業セキュリティにおいては問題になっています。

組織的な攻撃に関連して、犯罪者・攻撃者側の環境（攻撃インフラ）も整備が進んできているのも特徴として挙げられると思います。いわゆるアンダーグラウンドマーケットでは、攻撃用サーバーや攻撃ツールが多数取引され、マルウェアの開発ツールも存在し、以前にもましてシグネチャの作成や、定義ファイルの更新が追いつかない状況が発生しています。

――その結果、従来型のアンチウイルスソフトによる対策だけでは不十分といわれるようになったわけですね。

辻氏
はい。これらの問題に対応するためには、NGFW、SIEM、サンドボックス製品などが有効とされていますが、かといって従来からのエンドポイントのセキュリティが不要になったとか、やっても無駄ということではありません。

ただし、さきほど述べたシグネチャファイルの問題がありますので、現在エンドポイントセキュリティを考える場合、クラウドを活用した防御ソリューションがポイントとなります。弊社製品では、クラウド上にあるデータベースを参照するだけなので、膨大な定義ファイルをダウンロードせず常に最新のものが利用できます。

また、マルウェアかそうでないかの判定も、単に白黒をつけるのではなく、グレーなものも監視する必要もあります。手の込んだマルウェアの場合、機能を偽装したり検知を免れるような機能を実装しているものもあります。最初の判定で黒ではないからと安心できないのです。

――フルクラウドが御社のソリューションの特徴でしたね。クラウド型のその他の特徴はありますか。

中村氏
クラウド型だと、端末側はクラウドとの通信エージェントがあればよいことになり、ローカルに定義ファイルやパターンファイルを持つ必要がなくなります。よくアンチウイルスソフトのせいでPCが遅くなったとか、他のセキュリティソフトと共存できないといったことが問題になりがちですが、フルクラウド型のソリューションはPCへの負荷が軽いのも特徴です。また、仮想デスクトップ（VDI）環境との親和性も高いですね。

―― NGFW や SIEM に課題や弱点はないのですか。

辻氏
標的型攻撃への対策としてNGFW、SIEM、サンドボックスのような新しいソリューションを展開した場合、次に問題となるのは、これらのシステムが参照する外部情報です。

もちろんこうしたソリューションは、危険なIPアドレスなどの情報を持っています。しかし危険なIPアドレスは日々変化しています。常に最新の情報と照らし合わせて、いまこの瞬間に自社への攻撃が起こっていないか、社内から危険なサイトへアクセスしていないかを監視する必要があります。
弊社の脅威インテリジェンスは約1200万の危険なIPアドレスの情報をもち、かつ５分ごとに更新しています。この情報と内部の情報をつけ合わせることで最新の脅威対策ができるのです。

――そのような形での異常検知は専門技能が必要だと思うので、自動化が難しそうですね。

辻氏
ウェブルートはこうした予防、検知のためのセキュリティ情報を「脅威インテリジェンス」と呼んで、企業における可視化や自動化を助けるソリューション開発に取り組んでいます。IPアドレスやURL、ファイル情報など異なる要素の相関分析による脅威の検出といった新しい技術などです。Security Days 2015 のセミナーでは、この脅威インテリジェンスについて詳しく紹介します。展示ブースでは可視化したデモも予定しています。

――ありがとうございました。