日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

世界が協調して社会を守るサイバーセキュリティ最前線

サイバー攻撃用のツールをネット上で安価に入手できる今、攻撃者は防御側よりも有利な立場に立っている。この状況を変えるには、脅威情報のクラウドでの共有によって実現する「自動化」「攻撃の弱体化」「一貫性のある対策」の3つの戦術で対処するのが効果的だ。ただ、現状では、クラウドそのもののセキュリティについてもよく検証する必要がある。

 「ホワイトハウスの国家安全保障会議(NSC)に2年半、その前は国土安全保障省(DHS)に勤務。この経歴を生かして、企業と連邦政府の間で関係を構築し、脅威情報を共有するお手伝いをしています」

パロアルトネットワークス
サイバーセキュリティ戦略・グローバルポリシー担当バイスプレジデント
ライアン・ギリス 氏

 スピーカーのライアン・ギリス氏はこのように自己紹介したうえで、セキュリティとクラウドの関係を「クラウドが提供するセキュリティ」と「クラウドそのもののセキュリティ」に分けて論じた。

 ギリス氏は、まず、「クラウドやモバイル、IoT(モノのインターネット)などの最新技術は私たちの生産性を高めてくれますが、その一方で、悪意を持った攻撃者が侵入を試みる対象にもなります」と指摘。さらに現在は、ネット上の闇市場で安価に買えるツールを組み合わせるだけで、サイバー攻撃用のマルウェアを作れるようになっていると解説した。また、既存のマルウェアの一部を変えて亜種を作り出せば、マルウェア対策ツールをかいくぐるのも容易だという。

 もちろん、ネットワーク、エンドポイント(パソコンなど)、クラウドの各領域で防御をするためのセキュリティ対策製品は多数存在する。ただ、現状では、そうした製品は個別のツールとしてばらばらに使われていて、設定や運用管理も手作業の場合が少なくない。その結果、十分な防御効果を発揮することができず、セキュリティ対策の担当者は不利な戦いを余儀なくされている。

作業自動化と一貫性のある対策で状況を改善

 そこで、「攻撃者のほうが有利という現在の状況を変えるには、現状でばらばらになっている防御策を統合しなければなりません」と言う。そのための具体的な戦術として「セキュリティ対策の自動化」「攻撃の弱体化」「一貫性のあるセキュリティ対策」の3つを挙げた。

 例えば、セキュリティ対策自動化では、各種のセキュリティ対策製品が発する大量のアラートに対して、その脅威の度合いを自動的に判別することによって、セキュリティ管理者にかかる負担を低減できる。これにより、さらに高度な対策を考える余裕が生まれる。

 すると、企業・団体のセキュリティ強度が高まることによって、寄せ集めの攻撃ツールでは防御を突破できないようになる。「その結果、攻撃者が攻撃ツールを開発するのに時間と手間がかかる」と、ギリス氏。攻撃を防いでいるその間に、攻撃者を特定できる可能性も高く、セキュリティ対策当局による追跡も容易になる。

 また、セキュリティ対策の一貫性を高めるには、「可視化の徹底」「不要アプリなどの“多様性”の除去」「既知・未知の脅威の除去」といった対策をとることが重要。攻撃プロセスのすべての段階で防御策をとる必要もある。

 こうした統合的防御の“司令塔”となるのが、脅威情報を収集・共有するためのクラウドだ。ギリス氏は「パロアルトネットワークスでは、世界各地の4万のユーザー企業から脅威情報を収集し、毎週150万の防御策を各社に提供しています」と述べ、セキュリティ対策製品のメーカー各社と各国のセキュリティ対策当局が協力することによって、サイバー攻撃への対処を網羅的かつ効率的に行えるようになると強調した。

 ただ、このような「クラウドが提供するセキュリティ」には多くの利点があるものの、「クラウドそのもののセキュリティ」には現状、課題もある。

 「クラウドそのもののセキュリティ」としてギリス氏が指摘したのは、「システムの可視化の不足」「セキュリティ運用作業の自動化が不十分」「セキュリティ強度の格差」という3つの課題だ。すべてのクラウドでセキュリティの運用管理が自動化されているわけではない。また、セキュリティ強度がクラウドごとに異なっていると、“弱い”クラウドがマルウェアに突かれてしまうことも十分に考えられよう。

 しかし、「クラウドは安全か否か」という二者択一の議論は正しくない、とギリス氏は言う。

 求められるのは、クラウド提供事業者が基盤となるインフラのセキュリティを確保する一方で、ユーザー側はログイン認証やアクセス制御をしっかり管理するという責任を分担する関係。クラウドから直接提供される商用サービスであっても、接続ルールを明確に定めた運用が欠かせないと説いた。

パロアルトネットワークス
https://www.paloaltonetworks.jp/