セキュリティベンダー編
「エンドポイント」と「ネットワーク」は対立から連携へ
サイバー攻撃対策に“特効薬”はなし

　相次ぐ情報漏えい事件で需要に火がついたセキュリティ製品市場では、ベンダー各社が自社製品の優位性を競ってアピールしている。しかし、情報セキュリティ向上策の基本となる「多層防御」を実現するには、個別製品の優位性よりも、製品同士の連携が重要になる。かつて舌戦を繰り広げたエンドポイント型製品とネットワーク型製品も、現在は連携によって実効性や運用効率を高める方向へ動いている。（取材・文／日高彰）

●ウイルス対策ソフトは過去の技術か？

　「ウイルス対策ソフトでは、もはやサイバー攻撃を防ぐことはできない」──標的型攻撃の脅威が現実のものとして指摘されるようになって以来、セキュリティ業界ではこのようなメッセージがしばしば聞かれるようになった。新たなセキュリティ投資の必要性を説くために、ネットワークセキュリティ機器ベンダーから発せられることが多かった主張だが、2014年5月には、ウイルス対策ソフトの老舗である米シマンテックの幹部までもが、「ウイルス対策ソフトではサイバー攻撃の約45％しか捕捉できない」と新聞紙上で発言して物議を醸した。

　PCにインストールするウイルス対策ソフトは、端末を監視・保護することから「エンドポイントセキュリティ」製品と呼ばれる。標的型攻撃では、攻撃ごとに改変された亜種のマルウェアが用いられるため、定義ファイルに頼るエンドポイント対策は素通りしてしまう。実際の情報漏えい事件でも、エンドポイントセキュリティ製品を正しく導入していながら、攻撃者の侵入、そして情報漏えいを許してしまったというケースが多い。

　このことから、いかに高い検知率を誇るウイルス対策ソフトでも、標的型攻撃には無力であり、それよりも、トラフィックの中身まで監視して外部との不正通信をブロックする「次世代ファイアウォール」や、未知のファイルを仮想環境上で開き安全性を確認する「サンドボックス」など、新しいセキュリティ製品に投資すべきという考え方があり、冒頭の主張につながっている。

　また、ビジネスの現場ではPCだけでなく、私物も含めたモバイル端末が活用されており、さらに今後企業のネットワークにはIoT機器なども接続されていく。すべての端末にウイルス対策ソフトを導入し、定義ファイルを常時最新に保つという運用が難しくなりつつある。その意味でも、サイバー攻撃対策はエンドポイントよりネットワーク側に重点を置くべきという考え方には、一定の説得力があるようにみえる。

●端末とネットワークの連携で運用を効率化

　では、エンドポイントセキュリティ製品を導入する意味はなくなったのか。答えは「否」である。当然のことながらエンドポイント向けの製品も進化を続けており、ぜい弱性を突くような不審な動きをするプログラムを止める機能など、未知や亜種のマルウェアによる被害を何らかの形で防ごうとする仕組みをもった製品がほとんどだ。

　そして、それ以上に重要なのが、端末のうえで何が起こっているのかを知る「センサ」としての役割だ。例えば、サンドボックス技術で知られるファイア・アイは昨年、エンドポイント向けの脅威検知・対処ツールを提供するマンディアントを買収した。

　ネットワーク上のセキュリティ機器は、「外部からサイバー攻撃の疑いあり」とのアラートを発することはできても、では、実際にマルウエアに感染してしまった端末はあるのか、あるとすればどこまで感染は広がっているのかといった確認や、感染端末を業務ネットワークから隔離してマルウェアを駆除し、安全な状態にして戻すといった対処は行えない。

　情報セキュリティにおいて、攻撃の迅速な発見は何より重要だが、単に発見すればよいのでなく、予算と人手が限られるなかで日々のアラートに対応するには、サイバー攻撃対策の体制を効率よく運用していくという考え方が必要であり、そのためにはネットワークセキュリティ機器と、エンドポイントに導入されたソフトウェアの連携が必要となる。先進的な技術をもつファイア・アイのようなネットワークセキュリティベンダーが、エンドポイント領域にも製品ポートフォリオを広げたという時点で、「セキュリティで重視すべきは、ネットワークかエンドポイントか」を議論する意味は失われており、むしろ両者の連携こそが重要な時代になったということができる。

　逆に、トレンドマイクロ、シマンテック、マカフィーといった、もともとエンドポイント向け製品でセキュリティ市場を確立してきた老舗ベンダー各社も、現在は自社のアプライアンスや、ネットワークサービス事業者との連携、あるいは長年蓄積してきた脅威情報・解析技術のOEM提供などを拡大している。

　自社製品の優位性を説くため、他社に対してアグレッシブなメッセージが飛ぶことも多いセキュリティ製品市場だが、実態としては対立から連携へとフェーズは移りつつある。


●扱える製品からのスモールスタートで

　今年は、5月に日本年金機構で発生した大規模な情報漏えい事件をはじめ、各地でセキュリティ事故が相次いだ。そして、いよいよマイナンバーの配布も始まった。これまで漫然と「うちに限って狙われることはない」と考え、対策が後手になっていた企業ほど「すぐれた対策製品を“早く”導入してほしい」と悲鳴を上げている状況で、「今年はセキュリティ製品が提案するそばから次々売れる」と話す販社も多い。

　しかし、サイバー攻撃対策には「これさえ入れれば大丈夫」という特効薬はない。一見特効薬のようにみえる高度な製品を導入したものの、運用できる人材がいないため宝の持ち腐れになってしまっているというケースも増えていると聞く。前述のように、セキュリティ市場では、保護する領域の異なる製品同士の連携による「多層防御」がトレンドとなりつつあるため、まずはユーザーが確実に扱える製品を導入し、運用に慣熟したところでそれに連携可能な製品を提案するという販売戦略が、結果的に販社・ユーザー双方の利益につながるだろう。

[次のページ]