ここ1~2年で特定の企業や部署を狙った標的型攻撃や、パソコンのストレージを暗号化するなどして利用不能にし、元に戻すための身代金を要求する“ランサムウェア”と呼ばれるマルウェアの被害が増加傾向にある。
背景にはこういった攻撃やサイバー犯罪のカジュアル化があるが、企業のIT担当者にとっては頭の痛い問題でもある。一方で深層学習の手法を使って、未知のマルウェアや攻撃にも対抗できる点をアピールするベンダーも出てきた。その多くは米国などを拠点にした新興企業で、マカフィー、シマンテック、トレンドマイクロといった伝統の長いメーカーとはまた違った様相を呈している。
こういった状況を踏まえつつ、企業のセキュリティーはいまどういう状況にあるのか? マカフィー株式会社 セールスエンジニアリング本部 副本部長(本部長代行)の櫻井秀光氏に最新の動向を聞いた。
2017年の動向を先取りする“ふるまい検知”型のセキュリティー
── これまでモバイル・個人向けのセキュリティーについて、注目のトピックスを聞いてきました。今回は企業向けのセキュリティーについてお聞きします。
櫻井 日本でもようやく来たかと思えるのが、パターンファイルではないタイプのエンドポイントセキュリティー製品です。米国や欧州が先行している分野ですが、ベンチャーで立ち上がった企業もブランチを作り日本に進出してきています。銀行を始めとした先進技術に積極的な顧客との実績はありますが、まだ大きな顧客をつかんでいるというほどではありません。しかしビッグ・エンタープライズや中小企業に対しても、2017年以降“次世代型エンドポイント・セキュリティ”として出てくると思います。
── ふるまい検知などと呼ばれるタイプの製品ですね。
櫻井 はい。この分野のソリューションは現在二つの分野に分かれています。ひとつは未知のマルウェアを対象にしたもの。パターンマッチングする、従来型のセキュリティーソフトを抜けてきた未知のマルウェアを検知し、ブロックします。
これはいわば“入られる前”の対策ですが、それとは別に“感染した後”にいかに迅速に感染端末を特定して、修復できるかを重視した事後対応のツールがあります。
混同されがちですが、多種多様なメーカーの中でも感染前の対策に強い企業と、感染後のインシデントレスポンス(事故対応)やフォレンジック(ログや痕跡の調査)に強い企業の二つがあるのです。
弊社の最新バージョンでは、その両方をサポートしています。いま何が必要かを認識して、事前と事後の両方にしっかり対応できるような製品の選定をしていくことが問われる一方で、問題も出てきます。部分部分で異なるベンダーの製品を使っていくと、バラバラになった結果、管理コンソールも分かれてしまい、結局管理しきれなくなってしまう。そういう話はネットワーク全体を守るという意味では、以前からありました。
しかし、これだけベンダーが増えるとエンドポイント(ユーザーの使っている端末)だけを守る場合にもそれが起こり得ます。例えば捕まえるのはA社、定義ファイルはB社、事後はC社などとなると大変です。われわれとしては一つのコンソールでできたほうがいいと考えており、その強いメッセージを今秋のセミナーやFOCUS JAPANなどを通じて発信しています。
── ふるまい検知についてもう少し詳しく教えてください。
櫻井 少しバズワード的になるのですが“機械学習”の手法が応用されはじめています。いろいろなマルウェアの検体をベースに、パターンで捕まえていくのが従来型でした。これに対して、パターンという限られた形ではなく「このマルウェアにはこういった特徴があります」といった要素を広くとらえて、クラウドの巨大な解析エンジンに学習させる。さらに新種が出たときには、このファミリーに動きが近いという理由で素早く検知していくテクノロジーになっています。
こういったクラウドのリソースをうまく活用する方式がアメリカを中心に立ち上がっていて、トレンドになりつつあります。単にふるまいの特徴(シグネチャー)を知るというのとは一線を画すというか、挙動の特徴をクラウドにどんどんあげていって、検知に生かす仕組みが新しいですね。
Real Protectはクラウドと機械活用を利用した迅速な対応がウリ
── これとこれが似ているというのをAI的に解析していくわけですね。御社もそのための取り組みを進めているとおっしゃいましたが。
櫻井 マカフィーとしては現在β版を提供している段階(取材時点)で、近くリリースを予定しています。これまで「Raptor」という名称で展開してきましたが、正式版では「Real Protect」という名前になる予定です。
いろいろなところで、既存のパターンファイルの限界が叫ばれています。パターンファイルが巨大になってしまう面でもそうですし、深層学習という側面もありますが、やはりクラウド化して常に最新情報が取れるエンジンが今後の主流になってくるだろうと思います。
ただし、銀行や官公庁などオフラインを想定した業種もあります。こういった分野では、定義ファイルを使って掃除するという機能も重要です。また仮に検知力が落ちても、感染したらどうなるかのパターンが埋め込まれていて、実行された際にクリンナップしてくれる。こういう従来からあるソフトへの需要はなくならないと思います。つまり我々のように定義ファイル(DAT)を昔から作ってきた老舗のメーカーも必要なわけです。
単に守るだけでなく、検出し、修復し、対策するサイクルが大切
── 攻撃の手法は多岐にわたり、すべてに対応するのは困難です。せんじ詰めると、ある程度被害にあうのは前提にしたうえで、ダウンタイムをどれだけ少なくするかという話になってくるのでは?
櫻井 弊社でも昨年から、脅威対策ライフサイクルを提唱し、「Protect」「Detect」「Correct」「Adapt」の4つを回していこうとしています。防御(Protect)の壁は高めるが、防御だけですべてを止められるとは思っていません。
その壁を抜けてきたものをいかに迅速に見つけ(Detect)て修復(Correct)する。このP・D・Cのすべてに対応できるスキルとツールが求められます。そして最後のAdapt(対策を講じる)では、残ったログを利用して似たような攻撃に備えて新しいカスタムルールを作ったり、ツールを用意するなどしながら、メーカーのアップデートを待たずに自分たちで環境に合った対応(ツールや仕組みを適用)していく。このPDCAを回すのが大事だと考えています。以上がこの1年我々が言い続けてきたことです。言い方に多少の差はありますが、他社も近い認識を持ち、同様のメッセージを出していると思います。
── “1社ですべて”ではなく“分業する”という流れがあります。そうすれば仮に一つの壁が破られてもすぐに検知でき、問題が生じた場合でもすぐ復旧できる。この連携がスムーズにできるようになってきたということでしょうか。
櫻井 他社のように組み先を明言しているわけではないですが、連携は重要だと思っています。セキュリティーツールのログのフォーマットは、IOC(Indicator of Data Compromize)の規格でSTIXと呼ばれる形式のログを使用するのが標準的となっています。FireEyeやパロアルトなど各社の製品でもこのIOCを取り込める口を用意していて、ログさえ出してもらえれば、検知や修復に生かせる仕組みを各メーカーが持つようになっています。
── 連携というのは“共有の方法を決める”と言い換えていいのでしょうか?
櫻井 会社間の仕組みが固まれば処理の自動化ができます。だから興味のあるパートナーがいれば、APIを公開して他社のIOC情報を取り込むようにしてくださいとお願いしています。APIやSDKを公開することで、他社がシステム開発できるようになり、情報共有も進む。ここが非常に重要ですね。
2月のRSAで我々のトップ、クリス・ヤングが“サイバー・スレッド・アライアンス”について発表しました。フォーティーネット、パロアルト、インテル セキュリティ、シマンテックの4社が参画しています。まだわれわれはIOCで情報を出すレベルにとどまっているので、もう少し情報を厚くしていかないと思っていますが、まずはこういう取り組みを始めたというのが重要だと思っています。
また、グローバルでは「NO MORE RANSOM!」というサイトをカスペルスキーと一緒に始めています。こういう横の広がりをお客さんも期待しているし、数年前では考えられれない連携も見られるようになってきました。このサイトでは、ランサムウェアに関する情報提供や復号ツールの提供などを実施しています。
ランサムウェア対策は既存の考え方からの切り替えも必要
── ランサムウェアの話が出ましたが、今年に入って非常によく聞くようになりました。
櫻井 我々がいま公開している範囲の話となりますが、6月に出したレポートによると、第1四半期の1~3月で新たに出現したランサムウェアの数が、前の第4四半期(2015年10~12月)と比べて24%増加しています。増加の要因としては、技術力がなくてもツールを買えば、簡単にランサムウェアを開発できるエコシステムができてしまったためです。いろいろな亜種を技術力の低いサイバー犯罪者が作れる現状が生まれ、数珠つなぎ式に被害が増加しているのが現状です。
ランサムに関しては、感染してしまったらバックアップという保護がなければ救えません。そのため、セキュリティ製品を導入する際に意識してほしいのはリアルタイムブロックができる製品かどうかを重視してほしいです。
仮にネットワーク上をパッシブ型で監視していてアラートが上がったとしても、エンドポイントのユーザーがそのマルウェアをクリックしたらすべて終わりです。そうならないためには、エンドポイントで実行した時点で止めるか、もしくはエンドポイントにマルウェアが到達しないようにネットワーク上でリアルタイムにブロックする必要があります。
顧客に対してもランサムウェア対策をするのであれば、対応したセキュリティーツールをしっかり探してほしいと話しています。
よく勘違いされるのは、サンドボックス製品があるからと安心していると、検知はできてもブロックができない状態が発生し、感染が進んでしまう点です。
── 構成製品が昔とは異なってきているということですね。
櫻井 標的型攻撃にはサンドボックスが有効です。標的型の場合は、ある程度の期間をかけて情報を探索するので、泳がせれば痕跡をたどることができます。しかしランサムウェアは1回でも起動すれば終わりなので、攻撃成立までの時間軸で考えた場合、標的型攻撃とランサムウェア対策は違う視点で見なければなりません。
いま持っているもので対応できるかどうかをまず確認
── 既存のセキュリティ製品を入れているユーザーにコンサルティングする際、いま一番多い追加要素、補足要素はなんでしょうか?
櫻井 実はわれわれの顧客に限れば、スタンダードのウイルス対策製品ではデフォルトで無効になっている機能をカスタマイズすることでアクセス保護ができます。既存の顧客がサポートの範囲内で、どの機能を有効にすればランサムウェアに対応できるかのセミナーを実施しています。もしくはホワイトペーパーを参照いただけば、新しい製品でなくても対応できることは多いですね。さらに最新製品では、ランサムウェアに非常につよいふるまい型のエンジンが採用されますので、新製品にすれば、難しいルール設定なしにランサムウェア対策ができるようになると思っています。
ランサムウェアについては、様々なメーカーからもいろいろな情報が出ています。しかしまずは、いま持っているもので対応できるかどうかを確かめてもらいたいと思います。何でも新しいものがいいというわけではありません。
── なるほど。ありがとうございました。