山野修が考えるセキュリティ業界のオープン化（マカフィー） [Security Days Spring 2018] 2ページ目

山野氏：現代のサイバー攻撃に対しては、これまでのように一社や個人で守り切れるレベルではなくなってきていると思います。現在、業界で強調されるのはクラウド、IT、OT（Operational Technology）他の業界横断での協業体制です。さまざまな要件が変わってきている中で、セキュリティ業界のオープン化が必要だと思っています。

サーバーOSやネットワークはオープン化が進んでいますが、じつはセキュリティ業界はあまりオープンになっておらず、ベンダー依存の機器や手法が普通で、脅威情報の共有もまだ十分ではありません。もちろん、セキュリティという性質や顧客情報にからんでオープンにできない、オープンにしないほうがいいという情報もありますが、防御すべき層が、エンドポイントやオンプレミスリソースから、ネットワーク、クラウド、モバイルへと広がっており、ベンダー側もすべての防御を提供できるわけではありません。エンドポイント、クラウド、ネットワークなどとそれぞれ得意分野の協業、補完、情報共有が必要です。

たとえば、クラウド事業者は、ネットワーク経路、通信は保護しますが、クラウドに保存されるデータまで監視はできません。ユーザーのリソースですし、どのファイルがクラウド保存してはいけないのか、どのサービスが禁止されているのか、なにがルール違反なのかは、各ユーザーが決めなければなりません。

――オープン化を進めるための具体的な取り組みがあれば教えてください。

山野氏：脅威情報については、脅威インテリジェンスの共有テクノロジーであるMcAfee Data Exchange Layer（DXL）を業界向けにオープンソースとして公開しており、OpenDXLとしてさまざまなベンダーが利用できるようにしています。マカフィーが持つエンドポイントに関する脅威情報を、例えばメールベンダーやファイアウォールベンダーが利用しています。

McAfee ePolicy Orchestrator（ePO）は、エンドポイントやネットワーク機器の統合管理コンソールとして、セキュリティポリシーの適用やルールの設定の共通化、関連して複数の機器やソリューションの統合運用を実現するものですが、このAPIを公開しています。多数のベンダー機器がこのAPIに対応しており、コンソールで一元管理を行う事ができます。

企業システムがクラウドを利用し、エンドポイントのスマートデバイスも各種Webサービスやアプリを使うようになり、システムをファイアウォールの内側外側で分離できなくなってきています。その影響で、クラウド、エンドポイント、ネットワークが、複数ベンダーやサービスによって構築されます。それぞれに設定や管理が必要ですが、例えば、クラウドの先にも、社内と同じポリシーや制御を適用しなければなりません。セキュリティの責任分担が避けられなくなり、設定やポリシー適用、全体の連携動作が煩雑になるのですが、ePOのような標準があれば、それらを統括してくれます。

対外的な活動では、カスペルスキーやユーロポールと共同で、ランサムウェアの解読鍵を提供するサービス No More Ransom（nomoreransom.org）を運営しています。

――3月8日(木)の講演「エンドポイントとクラウドを制御する次世代エンタープライズセキュリティアプローチ」はどんな内容を予定していますか。

山野氏：マカフィーが毎年出している脅威予測についてまずお話しする予定です。2018年、これからの動向予測ですね。

また、次世代セキュリティの考え方で「Protect」「Detect」「Correct」という3つについてお話しようと思っています。これまでのセキュリティは「Protect」つまり守ることが中心でしたが、現在は発見（Detect）と対応（Correct）も考える必要があります。日本と海外でのこの認識にどんな違いがあるかの話も考えています。IoTセキュリティの話も必要かと思っています。ご期待ください。

──ありがとうございました。