[Security Days 2016 インタビュー] 脅威のスピードに追いつくために必要な二つのキーワード「自動化」と「情報共有」とは（パロアルトネットワークス）

2015年を振り返ると、日本年金機構をはじめとする国内の組織・企業を狙う標的型攻撃に用いられた「Emdivi」、年末から国内でも猛威を振るい始めたランサムウェア「TeslaCrypto」と、サイバー脅威は後を絶たなかった。

3月3日からの2日間は東京で、3月11日には大阪にて開催される「Security Days 2016」は、こうした脅威の動向を背景に、今後どのような取り組みが求められるかを、業界の最前線に立つ専門家らが紹介する予定だ。

その1つ、3月4日に「サイバー脅威の過去、現在、未来～今求められるサイバーレジリエンスとは」と題して講演を行うパロアルトネットワークス株式会社のエバンジェリスト兼テクニカルディレクター、乙部幸一朗氏に、現状の対策の課題と解決策を尋ねた。

――乙部さんは、最近の脅威の傾向をどのように分析していますか？

かつてのように散発的に攻撃を行うのではなく、マルウェアを作成する人、デリバリする人、配信サーバを用意する人……と、攻撃側の分業化、産業化が進んでいます。この結果、それほど手間をかけず、簡単に高度な攻撃を行える状態になっています。

もちろん、守る側が手をこまねいていたわけではありません。さまざまなセキュリティ製品に投資し、脅威からシステムを守るべく策を講じてきました。しかし残念ながら守る側は、産業構造も含め「連動」ができていません。こうした構造的問題も相まって、攻撃側のスピードに付いていけていないのです。

――では、攻撃側が有利というこの状況を変えていくのに必要な事柄は何でしょう。

攻撃側に追いつくには構造そのものを変えていく必要があります。この変化に必要なキーワードは二つです。一つは防御の「自動化」。そしてもう一つは、企業や業界の壁を超えた「情報共有」です。

現在、誤検出でシステムを止めたくないというニーズもあって、セキュリティ運用の少なくない部分が人の判断に頼っています。しかしそれでは、巧妙化する脅威のスピードに追いつくことはできません。既に、サンドボックスをはじめとする「検知」のための仕組みは存在しているので、こうした仕組みが自動的に連携し、人手を介さず脅威を止めるところまで実現していく必要があります。

また、ファイルのハッシュ値や通信先のIPアドレス、URLといった脅威の挙動に関する情報（Indicator of Compromise：IoC）を複数のセキュリティ製品で共有することができれば、より速やかな防御が可能になるでしょう。ただ、こうした情報をマニュアルで伝達していては、やはり攻撃側のスピードには間に合いません。クラウド上のサンドボックスの解析結果や脅威情報と、エンドポイントをはじめとする他のセキュリティシステムとで自動的にIoCを共有し、防御していくことが重要です。

ただでさえ、多くの企業がセキュリティ人材不足に頭を悩ませています。教育に力が注がれ始めていますが、すぐに即戦力が得られるわけではありません。人が増やせない中でセキュリティレベルを向上するには、やはり、システムで自動的に対応を支援する仕組みが必要でしょう。

――「自動化」や「情報共有」といったキーワードを、パロアルトネットワークスではどのようなソリューションを通して現実のものにしていく予定でしょう？

昨今の脅威は、ネットワーク側だけでも、サンドボックスだけでも、エンドポイントだけでも守りきれるものではありません。パロアルトネットワークスでは次世代ファイアウォールに加え、クラウド型サンドボックスの「WildFire」、エンドポイントセキュリティの「Traps」といったソリューションを連携させ、自動的に止めるところまで実現することにより、効果的な対策を支援していきます。複数のセキュリティ企業とともに立ち上げた「Cyber Threat Alliance」も、情報共有を推進する枠組みになるでしょう。

今後も、WildFireで収集した脅威情報をWeb上で確認できる「Autofocus」やSaaS向けのセキュリティなど、新たなサービスを追加していく計画です。Security Daysの講演では、その一部をご紹介できるかもしれません。