[Security Days 2016 インタビュー] セキュリティをネットワークから切り離す（シスコシステムズ）

3月3日からの2日間は東京で、3月11日には大阪にて開催される「Security Days 2016」は、国内外のセキュリティベンダーによるセミナー中心のイベントだ。多くの企業や専門家が最新知見の講演を行う。

3月4日、東京で「標的型/サイバー攻撃の最新動向と包括的な対策を実現するシスコセキュリティ」と題した講演を行う、シスコシステムズ合同会社のセキュリティ事業コンサルティングシステムズエンジニアである國分直晃氏と、3月11日に大阪会場で講演を行う、同セキュリティエバンジェリスト西原敏夫氏に、最新の脅威動向や同社のソリューション、そしてふたつのセッション（東京開催／大坂開催）の見どころなどについて話を聞いた。

――最近の脅威動向について、どんな点に注目していますか。

國分氏：
先日最新版を公開したシスコセキュリティレポートにありますが、引き続きランサムウェアが感染を広げています。また、その攻撃の多くでエクスプロイトキット「Angler」が使われていました。

また、これまでと異なる傾向として、攻撃の起点となる国として、香港が際立って増えています。C＆Cサーバが設置された不正なサイトが香港にある例が多くなっています。

――サイバー攻撃対策における企業の一番の課題は何だと考えていますか。

西原氏：
今のサイバー攻撃は非常に高度になっていて、追いつけていない状況はどこも変わらないでしょう。数年前からサンドボックスが注目されていますが、脅威の進化は続いており、現在ではサンドボックスすらすり抜けてしまうケースも増えています。

また、CSIRTを立ち上げる企業も増えていますが、CSIRT以前の基本対策がまだだったり、CSIRTとSOCを混同するケースなど、まだまだ理解が足りないと感じています。

理解という点では、先進国の中でも日本だけ特徴的なことがあります。それは、セキュリティは情報システム部門のネットワーク担当がやることだという誤解です。いまやグローバルでセキュリティは、ネットワークだけでなく、インフラやビジネス、知的財産など、いわばビジネス全体を支える事業の基礎と考えられています。シスコが提唱するデジタイゼーションは、セキュリティがすべてを支えるという考え方です。ネットワーク屋のシスコだからこそ、この認識を変えていきたい。

――そういった課題を解決するシスコの取り組みについて教えてください。

西原氏：
シスコはセキュリティを「攻撃前（Before）」「攻撃中（During）」「攻撃後（After）」の3つのカテゴリに分けてシンプルに考えます。これらは6：3：1の比率で開発実装され、特に「After」の部分で、二次被害を防ぐための可視化に注力しています。可視化は、これまでのトラフィックやマルウェアの可視化に加えて、現在は、アイデンティティ管理のプロセスや、アプリケーションの可視化も必要になっています。

シスコは、この4つの可視化について、目的に合わせたさまざまな技術や製品を提供しています。たとえばトラフィック可視化のためにシスコが開発した「NetFlow」は、ある大規模な情報流出事件の際、発見と解明のお役に立ったという事例があります。

もうひとつのシスコの特長は、M&Aによって30社のセキュリティ専門会社がグループ会社として存在しているため、セキュリティ対策ニーズの端から端まで、ほぼすべてのエリアを網羅できる豊富な製品群を持つことです。

――製品群の連携のためには情報共有や自動化が欠かせませんね。

西原氏：
シスコは、機器同士が自動連携するための共通言語「pxGrid（Cisco Platform Exchange Grid）」を開発しており、自社製品群だけではなく、すでにチェック・ポイントをはじめ30社と連携しています。

また、世界中のシスコ機器やハニーネットから収集した情報は、スレットインテリジェンスサービス「Talos」に集約しており、新しい攻撃から5分ほどで製品にフィードバックされます。

――Security Days 2016 の講演や展示の見どころは何ですか。

西原氏：
講演では、「一通り対策をやっているけれど、次の一手がわからない」そんな方に向けて、次に何をしたらいいかがわかる情報をお伝えしたいと思います。

また、最近のC＆Cサーバで使用される、ドメインを生成してダイナミックに変更していく「DGA（ドメインジェネレートアルゴリズム）」と、それを止めるシスコのエンジンのような、脅威の最新具体事例もご紹介する予定です。ぜひ会場においでください。

――ありがとうございました。