米Palo Alto Networksは、次世代ファイアウォール製品を市場に投入、この分野が抱えてきたさまざまな課題への解決策を提示しており、大きく伸長している。同社の基本戦略と根幹となる思想とはどのようなものか。同社の共同創業者で最高技術責任者(CTO)のNir Zuk氏に聞いた。

最高技術責任者(CTO) Nir Zuk氏
包括的なセキュリティサービスこそ激化する攻撃を遮断できる
--今、企業、団体の情報システムに迫っている危険の状況はどうなっているか
企業や団体の情報システムに対する攻撃は増加する一方であり、セキュリティの問題は一層深刻になっている。標的型攻撃が増えていることが背景にある。以前は、単にクレジットカードの番号を盗み出したり、スパムを送りつける程度だったが、近年では、企業秘密、軍事機密など高品質な情報が狙われ、いわば攻撃者にとってカネになる情報が標的になっている。だからこそ、彼らは攻撃のために、かなりの資金を投じている。国家そのものが資金を出し、攻撃者たちを援助している例も少なくないため、彼らの「武器」は洗練度が高まっている。
--攻撃を受ける側は、うまく対処できているのか。
論理的に考えて、5~10年前の技術では、最近の攻撃には対抗できないことは明らかだ。しかし、残念ながら今でも多くの企業や団体、組織では10年前、場合によっては15年も前の技術が使われている。間違った手法が採られている理由は、個々の技術ごとに、解決策を見出そうとしているからではないか。
ファイアーウォールやウイルス対策、IPS(不正侵入防御システム)、プロキシ、コンテンツフィルタリング、APT(持続的標的型)攻撃などへの対策サービスや手法などさまざまな対抗技術があるが、それらは企業に別々の目的で導入され、対策として用いられている。今回、来日して日本企業の方と何度か話したのだが、これらの要素は別々のプロジェクトして実行されたものだ。(セキュリティを考える際は)各種の製品やサービスを組み合わせて、全体像を形成するような、包括的な取り組みでなければならない。
--なぜ、包括的な取り組みが有効なのか。
例えば、最近はAPT攻撃向けの製品やサービスが市場に出ているわけだが、それらは基本的に検知しか担っていない。検知してから後の十分なブロックができないことが問題だ。ファイアーウォールをはじめ、ウイルス対策ソフト、IPSなどの要素を組み合わせるべきだ。APT攻撃向けの製品やサービスを扱うベンダーは多くあるが、検知法は千差万別だ。
サンドボックスを用いる場合もあれば、マルウェアなどから企業内で情報を漏えいさせるための司令塔になってしまうサーバが出ないようにする手法、DNSトラフィックのブロックなど、さざままだ。要するに検知法は1つだけでは足りない。すべて使ってこそ有効になるといえる。さらに、検知だけでも不十分だ。そこに、ブロックを付加することが整った対策となる。
APT攻撃を防ぐ、あるいはAPT攻撃でサーバが乗っ取られ、攻撃者に再接続されることを遮断する。DNSでアドレスを特定して、データを漏らそうとするトラフィックを抑える。そのような複数の技術を用いた対策でなければならない。包括的な解決策が適切であると、われわれが提案している理由は、ここにある。