人手でのセキュリティ管理は、もはや限界に

政府機関による大規模な情報漏えい事件が世間を騒がせたのは記憶に新しい。パロアルトネットワークスのシニアマーケティングマネージャー 菅原継顕氏は、この事件のポイントは、ウイルス感染からインターネット接続の遮断までの時間にあると指摘する。 「感染から遮断まで3週間も要したわけですが、実はこれぐらい時間がかかる組織は世界的に見ても珍しくありません。むしろもっと時間を要してしまう組織も多いのです。ですから、今回事件が起きた政府機関だけが抱える問題では決してなく、どの政府機関や企業も同じように抱えている問題であるという認識が必要だと言えます」

シニアマーケティングマネージャー 菅原 継顕 氏

こうした状況にある背景として、やらねばならないセキュリティ対策と、実際に企業側が実施しているセキュリティ対策やセキュリティに対する意識との間に大きなギャップが存在していることが挙げられる。ある調査によると、24時間以内に二次被害へと拡散するタイプの攻撃が75%に達するにもかかわらず、前述のようにマルウェアの侵入を検知し、状況を把握し、その活動を止めるまでに多くの時間がかかってしまっているのだ。 そしてサイバー攻撃を検知した際に、迅速なレスポンスで被害を封じ込めるためのポイントとなる、インシデント調査に要する時間の重要性について意識していない企業の割合も33%にも上るのである。

「とはいえ、企業や政府機関のIT部門の方々というのは、日々複雑な運用管理業務に追われているので、セキュリティ機器から頻繁にあがってくるアラートに目を配り、マルウェアの活動をブロックし、情報漏えいが発生していないかチェックするといったことまで、なかなか手が回りません。だからこそ、自動化できる部分は自動化することが、管理者の負担低減だけでなく組織のセキュリティレベル向上につながるのです」と、菅原氏は強調する。

このように、求められるセキュリティと現実とのギャップを埋めるべく、パロアルトネットワークスはOSのバージョンアップにより新たな機能強化を実施した。

まずレスポンスタイムを削減するための仕組みとして、アプリケーションコマンド・センター(ACC)の機能を強化し、脅威の可視化を一歩進めた。もともと同社の次世代ファイアウォールは、アプリケーションの可視化に強みがあったが、今回そのインタフェースをさらに進化させ、色分けされたセルの大きさなどでトラフィックの状況が直感的に把握しやすくなっている。そして画面をドリルダウンすることで、必要な情報が探しやすい仕組みを取り入れ、詳細な調査を容易に行えるようにした。

菅原氏は、「脅威を発見するための機能を強化しました。非標準ポート通信やマルウェ ア感染端末をリスト化するなどのビューが加わり、脅威に対する視認性が大幅に向上しています」と説明する。

続いて、未知の脅威を見つけるWildFireも機能強化が図られている。新たに加わったマルチバージョン解析機能では、同一アプリケーションの複数のバージョンでのマルウェアの挙動解析を同時に実行する。

「現在、特定のアプリケーションの特定のバージョンでのみ動作するマルウェアが増えています。従来こうしたマルウェアを検知するにはバージョンごとにサンドボックスを用意する必要がありました。それが我々のクラウド上で同時に分析できるので、お客様の環境に負荷をかけずにマルチバージョン解析を実現します」(菅原氏)

今回のWildFireのバージョンアップではハイブリッドクラウドにも対応。これによりクラウド型とアプライアンス型のサンドボックスを同時に利用できるようになった。例えば外部から送られたファイルはクラウドで分析し、機密情報が含まれている可能性のある内部のファイルはアプライアンスで分析するといった使い分けが可能となっている。また、これまで脅威の有無どちらか2つで行っていた判定に、“どちらともいえない”グレイウェアの判定も追加したことで、アドウェアなども判定できるようになった。さらに、マルウェアに侵害されたホストを自動的に発見できるよう、外部からの偵察行為や脆弱性を悪用した攻撃、C&Cサーバへのコールバック、マルウェアが仕込まれたURLへのアクセスなど、攻撃パターンとの相関関係を調べるエンジンも新たに搭載されている。

図:侵害されたホストの発見と迅速な封じ込め

菅原氏は言う。「弊社のソリューションは、サイバーアタック・ライフサイクルの全てのステージで攻撃をブロックする機能を提供しています。今後も常にバージョンアップを重ねながら、より機能を強化していきます。多くの企業では、マルウェアをいかに侵入させないかに注意を傾けがちですが、そこだけを気にしていたのでは危険です。どんなにゲートウェイでの防御力が強力であったとしても、例えばUSBメモリ経由でもマルウェアが組織内に侵入して感染が拡大する可能性もあるからです。そうならぬよう、サイバーアタック・ライフサイクルを理解し、それを防ぐために必要なセキュリティ対策を実現していただければと願っています」


7月31日に行われるマイナビニュース主催 【これまでのセキュリティ対策では守りきれない!?最新のサイバー攻撃の実態を知り、真の防御策を打つ】セミナーには、菅原氏も登壇する。

同氏のセッションでは「最新のサイバー攻撃の実態と「最強の自動化セキュリティ」をテーマに、新たに追加・強化された機能の詳細の他、現在企業が置かれているセキュリティの現状や、その中でどのようにセキュリティを自動化すればいいのかについて、具体的に言及される予定だ。セキュリティレベルの向上と現場の負荷低減を両立させる手法について、ぜひ知っていただきたい。

(マイナビニュース広告企画)

[PR]提供:パロアルト