流行に惑わされずに、地固めの
セキュリティ対策を講じる秘訣とは

　日増しに高度化・巧妙化するサイバー攻撃。新しい手口の攻撃が登場するたびに、企業にはさらなる対策強化が迫られる状況となっている。実際、少しでもリスクを減らすため、様々な対策ソリューションを導入・運用する企業は多いだろう。このような現状について、ソフォスの杉浦 一洋氏は次のように指摘する。

　「その時々の流行のキーワードに踊らされるべきではありません。セキュリティ対策の基本方針がないまま都度対応を進めていくと、現場の運用が破たんしてしまうからです」。対策ソリューションの数が増えていく一方で、運用に充てられる人員やリソースは変わらない。その結果、少なからぬコストを投じて高度なツールを導入しても、その効果を十分引き出せないケースが増えているという。

　こうした状況を回避するには、基本に立ち返ることが肝心だ。「なぜ対策するのか」「何を守るのか」「守りたいものはどこにあり、どこからアクセスできるのか」といったことを見つめ直し、自社のセキュリティ対策の基本方針を地固めする。「そうすれば、セキュリティ対策を実施する理由を明確化できます。また、顧客や製品に関する機密情報が社内のどこに存在しており、そこにアクセスできるのは誰なのかが分かれば、的確な備えも実現できるでしょう。自社の弱点や侵入経路が見えれば、対策実施に関する上長・周囲の理解も得やすくなるはずです」と杉浦氏は説明する。

　中でも侵入経路を明確にすることは、先に紹介したような運用の破たんを回避するために重要だという。ここでいう侵入経路とは、メールやWeb、ネットワーク機器、リムーバルメディアなどのウイルスの媒介となり得るもののこと。様々な経路が存在するため、一見すると対策は難しそうに見えるだろう。

　「ただ冷静に考えると、そのうち自社に当てはまる侵入経路は、自ずと絞り込めてくるはずです。しかも、各経路を利用する既知の脅威には、既に何らかの対策が提供されています。自社の侵入経路を把握し、それぞれにきちんと対策を打てば、脅威は決して過剰に恐れるべきものではないのです」と杉浦氏は語る。

　一方で、より注意したいのは新たな脅威や脆弱性の動向である。サイバー攻撃は24時間365日続いており、運悪く脅威と脆弱性が重なったときにインシデントが発生する。未知の脅威や新たな脆弱性の動向を常に注視し、先回りした対策を打つことが、大きな被害を未然に防ぐポイントとなるからだ。

　「現在は、ビジネスを取り巻く環境が大きく変化しています。攻撃者は、こうした環境変化を見逃さずに新たな攻撃をしかけてきます」と杉浦氏。コロナ禍で普及したテレワークはその筆頭だ。クラウドサービスの利用が広く一般化し、守るべきデータやアプリケーションが分散して存在するようになっている。また、業種・業態の垣根が崩れ、企業間連携の形やサプライチェーンが複雑化。システム自体が互いに接続されるようになった結果、リスクの侵入・拡散経路も多様化している。

　変化する環境で、ビジネスの安全性をどう守るか。これについてソフォスは、まずやるべきこととして、セキュリティ対策を「管理」から「オペレーション」へ進化させることを提唱している。「環境やサイバー攻撃手法が次々変化するこれからの時代、以前のようにセキュリティポリシーを一度設定したらそれで完了ということはあり得ません。攻撃による被害が拡大する前に対応できるよう、常にオペレーションを回し、攻撃チェーンのできるだけ早期の段階で不審な活動を検出できるようにすることが肝心です」と杉浦氏は強調する。

　このスピード感を実現するには、人手だけに頼らず、リスクを自動で検出して対応する仕組みが必須になる。同時に、常に学習し続けることで、改善に向けた独自のフィードバックループを回す。このような仕組みを備えたシステムが、これからのサイバーセキュリティの要になるという。

　これを具現化したのが、「Sophos Adaptive Cybersecurity Ecosystem （ACE）」だ。

　ACEは、予防・検知・対応を最適化するために構築された広範なサイバーセキュリティシステム。AI（機械学習）による自動化と人間によるオペレーション、そしてソフォス製品とパートナー製品を連携・協調させることで、対策を継続的に強化できる点を大きな強みとする。「相互に接続される現在のビジネスシステムと、変化するサイバー攻撃環境に柔軟に適応できる（Adaptive）アーキテクチャーを備えています」と杉浦氏は話す（図1）。 　中核を成すコンセプトが、かねてソフォスが提唱してきた「シンクロナイズドセキュリティ」である。複数のセキュリティ製品が互いに連携することで、インシデントへの対処を自動化する。

　例えば、エンドポイント保護製品である「Sophos Intercept X」が感染を検知すると、ファイアウオール製品「Sophos Firewall」と通信し、感染したエンドポイント機器を自動的に隔離する。これにより、サイバー攻撃者によるネットワーク内の横移動（ラテラルムーブメント）を防ぐ。その後、Sophos Intercept Xが脅威をクリーンアップし終えたら、自動的にSophos Firewallに状況を伝えてネットワークへのアクセスを回復させる。

　一連の流れはすべて自動で行われるため、「手動では約3時間半かかる作業を8秒以下で処理することが可能になる」と杉浦氏は言う。多種多様な製品を導入・運用する中で高まりがちな、セキュリティ担当者の運用負荷も大きく軽減できるだろう。

　「API経由でサードパーティのソリューションとも連携できます。既にSOAR（セキュリティ対策の統合運用と自動化）やSIEM（セキュリティ情報／イベント管理）、RMM（リモート監視・管理）などの様々なカテゴリーのソリューションとの連携を実現しており、1日500万件以上のAPIリクエストを処理しています」と杉浦氏は説明する（図2）。 　脅威の検出性能にも定評がある。機械学習によって、ゼロデイ攻撃やAPT攻撃（持続的標的型攻撃）など、シグネチャ型エンドポイント対策製品では検知が難しい脅威にも対応できる。具体的に、Sophos Intercept Xは、世界に5拠点あるソフォスの研究所「SophosLabs」が持つマルウエアサンプルを教師データとして学習したAIエンジンを搭載。不審なファイルを解析することで、未知のマルウエアも速やかに検知することが可能だという。

　「当社の顧客であるお客様企業はもちろん、その先のお客様や、パートナー様など、すべての関わる組織や人がACEの恩恵を受けられるようにすることを我々は目指しています」（杉浦氏）。高度化するサイバー攻撃に対応するため、企業・組織のセキュリティ対策工数は高まりつつある。ソフォスが提唱するアプローチは、この状況を脱却し、対策を地固めする際の重要な指針になるはずだ。