サイバー攻撃などの脅威の高度化や巧妙化に伴い、企業のセキュリティ対策環境も複雑になり、運用も難しくなってきている。その隙を突いてくる攻撃者の侵入を検知し、被害を抑止できることが望ましく、セキュリティベンダーの間ではその“手助け”になるセキュリティ脅威情報を活用できるようにする取り組みが進む。
スロバキアのセキュリティベンダーESETで最高技術責任者(CTO)を務めるJuraj Malcho(ユライ・マルホ)氏は、「現在のサイバー攻撃では、攻撃者が標的にまつわる環境を入念に調べた上でカスタマイズした手法を用いてくる。一度きりのマルウェアや攻撃スクリプトなどが使われるので事前に防御するのは難しい。そこで能動的に被害を抑止していく『アクティブディフェンス』を目指していくこととなる」と話す。
ESET 最高技術責任者のJuraj Malcho氏
これまで企業のセキュリティ対策環境では、数多くの防御ソリューションが順次導入されてきた。それらを有機的につなぎ合わせ、統合的な対策環境に進化させられるかが焦点になる。セキュリティ脅威情報は、自社が直面している脅威の詳しい状況を把握、特定し、防御ソリューションを機能させるための鍵になる。
セキュリティ脅威情報は、ベンダーが自前の監視網(検知データなどの提供に同意しているユーザーからの情報を総合的に解析し、フィードバックするといった体制を意味する)あるいは連携する外部組織からの共有データなどをもとにしている。従来は主にネットワークセキュリティの領域でセキュリティ脅威情報を共有し、ベンダー単独では把握仕切れない脅威を検知するシグネチャーの迅速な配信などが実現されてきた。
近年は、このようなアプローチがPCなどのエンドポイントにも広がり、「EDR(エンドポイントにおける脅威の検知と対応)」と呼ばれるソリューションが登場している。Malcho氏によれば、同社でもEDRの取り組みを進めてきた。
「例えば、メールを通じて攻撃スクリプトを送り付け、エンドポイントで実行させるような手法には、セキュリティ脅威情報をもとにエンドポイントで起きていることを迅速に検知できるかが重要になる。ただ、検知能力を高めようとすれば、誤検知も多くなってしまう。そのバランスに配慮する必要がある」
同社の場合では、検知レベルのしきい値をユーザーが設定できるようにしているという。検知レベルを上げれば見逃す恐れのある脅威を補足できる可能性が高まるものの、誤検知も増える恐れがあり、管理者の対応を煩雑化させてしまいかねない。このためMalcho氏は、クラウドベースのセキュリティ脅威情報の活用や分析を推奨する。
「クラウドに集められたさまざまなデータを解析して得られる最新のセキュリティ脅威情報を検知に役立てられる。ただ、クラウドが万能というわけではないことも事実。自身のデータを提供したくないユーザーもいる。われわれとしてはどのような形であれ、ユーザーにとって最適な形で利用できるようにしている」
EDRの登場により、現状において企業のセキュリティ対策に求められるソリューションのカバレッジはある程度、形作られたと見る向きもある。Malcho氏は、「今後も“新しいソリューション”をうたうケースもあるだろうが、真に真新しいものがゼロから出てくることは考えにくい。複雑化した対策環境をどう使いこなせるようにするかが重要だと考えている」と話す。
対策が複雑で高度になるほど、ユーザーにはそれ相応の力量が求められる。しかし、セキュリティのリソース不足が方々で課題に挙げられる現状では、そう一朝一夕には行かないだろう。各種の防御ソリューションとの連携に向けては、例えば、統合管理ツール上でセキュリティ脅威情報を把握しやすいようにしたり、EDRを通じたエンドポイントの把握と防御までのプロセスを一元化させたりするなど、活用の“進化”を指向していく。
「セキュリティ脅威情報を使いこなすことは容易ではないと認識している。まずはマネージドセキュリティサービスなどプロフェッショナルの活動を支えるようにし、エンドユーザーのセキュリティの向上につなげていきたい」とMalcho氏は語る。
