2020年2月18日、セキュリティベンダーのエフセキュアは2020年の事業説明会を開催。最新のビジネスアップデートやセキュリティ動向に加え、高い成長を遂げているコンサルティングサービスの実績や中身についても説明し、クラウドとIoTの分野の強みをアピールした。
脆弱なIoTデバイス、厳しい個人情報管理、トリクルダウン効果
冒頭、登壇したアジアパシフィック地域バイスプレジデント キース・マーティン氏は、2019年のビジネスアップデートを行なった。2019年度の業績は前年比14%増の2億1730万ユーロと過去最高となった。コンシューマー事業はほぼ横ばいだが、B2B事業が27%増と好調に推移したという。
2019年はドイツの「AV-TEST」において2部門で「Best Protection Award」を受賞したほか、EDRも高い評価を獲得した。また、産業セキュリティ規格であるIEC62443の認証を取得し、自動車・航空・海運の分野でのセキュリティに対応。その他、調査部門ではF5のBIG-IPやスマートロックのKeyWe、Barcoのオンラインプレゼンシステムなどの脆弱性を発見している。
1988年に設立され、セキュリティ分野で30年以上の実績を持つエフセキュアは、現在100以上の国々でビジネスを展開しており、200社以上のISP、4000社以上のパートナーを介して製品・サービスを販売してきた。セキュリティ技術の研究・開発にも注力しており、コンサルタントも300人以上に及んでいるという。インターポールなど70以上の業界機関と協業しており、ヨーロッパでは数々のサイバー犯罪の捜査協力を実施しているとのこと。
セキュリティ対策の市場は成長を続けている。オリンピックを契機にした攻撃が増加し、ネットワークに接続された脆弱なIoTデバイスが増え、欧州のGDPRやカリフォルニア州のCCPAのような厳しい個人情報管理が企業に課されるようになった。また、国家によって開発された高度なツールやテクニックが、犯罪グループ、個人のハクティビスト、初心者のスクリプトキディなどに波及してしまう「トリクルダウン効果」により、攻撃が巧妙化してしまうのも大きな問題になっている。
これに対してエフセキュアは、予測、防御、検知&対応という分野で幅広いソリューションポートフォリオを揃える。具体的には脆弱性管理の「Rader」、フィッシング対策管理の「Phishd」、クラウド保護の「Cloud Protection for Salesforce」、エンドポイント保護「PSB&Business Suite」、エンドポイント検知&対応(EDR)の「Rapid Detection & Response」、マネージド検知&対応の「Countercept」などのほか、サイバーセキュリティのコンサルティングも提供する。マーティン氏は、「日本のコンサルティングビジネスも、2018年と比べて2倍に増えている」と語る。
防御は完璧なのに 攻撃はなぜ続くのか?
続いて登壇したエフセキュア CTOのユルキ・トゥロカス氏は「攻撃側 vs 防御側 勝利はどちらの手に?」と題し、最新の攻撃の動向とエフセキュアのテクノロジーについて説明した。
発見されるマルウェアは劇的に増えており、1日35万個のマルウェアが発見され、すでに10億以上のマルウェアがサンプル化されている。攻撃対象はWindowsが多いが、AndroidやiOSへの攻撃も急速に増えている。これに対しては、防御側も進化しており、実はほぼ完璧に機能しているという。「昨年の結果、既知ウイルスに関しても、ゼロデイ攻撃に対しても防御率は100%だった」と語る。
しかし、サイバー攻撃の被害は止まらない。ノルスクハイドロがサイバー攻撃を受け、工場が操業停止に陥った。また、自己増殖型のMIRAIボットネットは60万以上のデバイスに拡大し、大規模なDDoS攻撃をNetflixなどに行なった。さらに、Amazon CEOのジェフ・ベゾスのスマホアプリに対して攻撃があったと報じられている。先日は事故で亡くなったコービー・ブライアンの写真を悪用したデスクトップアプリケーションがビットコインのマイニングに使われたという事件があった。
このように攻撃が成功する背景はいくつかあるが、大きな理由は「人間がミスをするから」だという。ある企業は、ディスクスペースが足りず、パッチが当てられてなかったサーバーを踏み台に攻撃を受けた。また、セキュリティ設定を誤ったり、APIの秘密鍵をGitHubに載せてしまったり、誤操作・誤設定はあとを絶たない。もう1つの理由はレガシーソフトウェアだ。全世界のPCのうち2割はいまだにサポート切れのWindows 7が使われ、VistaやXPのユーザーも多い。「攻撃したければ、組織の中の1台のマシンに脆弱性があればよい」と語る。
脆弱なIoTのデバイスを狙った攻撃は、いまやインターネットの攻撃トラフィックの半分を占めるようになったという。また、標的型攻撃は国家ぐるみが特定の個人を狙うようになり、ソフトウェアアップデートやハードウェアの脆弱性を悪用したサプライチェーン攻撃も増加している。
パブリッククラウドに最適なコンサルティング事例を披露
こうした攻撃に対して、エフセキュアはレピュテーションや分析プラットフォームなどを用いて、セキュリティを確保している。1日60億におよぶファイルやアプリケーションのクエリ、1日100万ものURLやドメインのチェック、1日4億によるホストネームのスキャンのほか、ダークネットのモニタリングも実施している。トゥロカス氏は、「レピュテーションの重要性は今後も続く。しかし、ユーザーのデバイスがなにをしているのかも把握しなければならない」と語る。
毎月66億のイベントが同社のビッグデータプラットフォームに格納され、AIとコンサルタントと連携して解析される。これらの膨大なデータの分析のためには新たに「Project Blackfin」を立ち上げ、エンドポイント上で機械学習ベースの行動分析を推進している。すでにエンドポイント検知&対応のRDRに実装されており、ローカルビューとグローバルビューを組み合わせ、誤検知の少ない検出を提供するという。デバイスにインテリジェンスを分散することで、ホスト固有の動作に対応できるほか、データ収集・送信が減るため、プライバシーも高まり、迅速な対応が可能になるという。
また、エフセキュア自身が自社基幹システムや法人・個人向けのサービス基盤としてAWSを古くから利用しており、このノウハウを元にクラウド向けサービスやコンサルティングを展開している。コンサルティングサービスの概要と日本での事例についてはエフセキュア 法人営業本部 シニアセールスマネージャー 河野真一郎氏が説明した。
コンサルティングに関しては脅威分析やアセスメント、ハードニング、トレーニング、ペネトレーションテストなど多岐に及んでおり、クラウドに特化したコンサルティングを実施している。セキュリティ診断は、侵入テストだけではなく、ソーシャル攻撃への演習、物理セキュリティまで含んでおり、従業員や社員を狙ったメールや物理的なオフィス・データセンターの侵入まで実施するという。
こうしたコンサルティングを導入したのが、マッチングアプリ「Pairs」で1000万人以上の会員情報を有するエウレカだ。ネットワークやアプリケーションだけではなく、パブリッククラウド特有の脅威を把握するためのセキュリティ診断を求めた結果、エフセキュアが選定されたという。診断結果に関して、エウレカからは「パブリッククラウド環境に最適化された網羅性の高いセキュリティ診断だった」「効果的なセキュリティ対策を実行に移せた」「セキュリティ対策を可視化、留意すべき点の気づきが得られた」といった感想を得られたという。