脅威が急増したことで、人手での分析は不可能に
サイバー攻撃は増加の一途をたどり、複雑化、巧妙化が進んでいる。標的型攻撃に代表されるように、いちど狙われたら、従来型の防御では、ほとんど防ぐことができないのが実情だ。吉田氏は事態の深刻さについて「ほとんどの企業は不正侵入対策をしている。にもかかわらず攻撃を受け、実際に被害に遭っている」と強調した。
ウェブルート株式会社
マーケティング部
シニアマネージャー
吉田一貫氏
吉田氏によると「誰か1人にクリックさせれば、マルウェアを組織全体にばらまくことが可能だ。感染率95%を達成するには、たった12通のフィッシングメールで済むというデータがある」という。また、いちど侵入したマルウェアは奥深くに潜むステルス性のものがほとんどで、「62%は長期間検知されないことがある」(同氏)というのが現状だ。
気づかれずに侵入し、気づいたときには情報が漏れているという状況なのだ。標的型攻撃がやっかいなのは、特定の標的にカスタマイズされているため、従来のようなシグニチャベースのソリューションでは検出できないことになる。吉田氏によると、現在、標的型攻撃を検出するためには、大きく3つのアプローチがある。
1つは、攻撃が使う一般的なテクニックのパターンを振る舞いベースのシステムで検出するアプローチ。2つめは「ブラックリスト」で未知のファイルをブロックするとともに、「仮想コンテナ」や「エミュレーション」により、実際の挙動を監視するアプローチ。3つめは、クラウドの脅威データベースにより生成される「セキュリティインテリジェンス」により検出するアプローチ。
ただ、新たな攻撃手法やマルウェアの亜種は急激に増加しており、従来のアプローチがいつまで有効かはわからない面もあるという。たとえば、1日に発見される悪質なURLは、2万5000件、新たに出現するフィッシングサイトは1日に1000サイトにも達する。また、新たに発見される未知のファイルは1日に77万件、1日に600万の悪質なファイルの活動が確認されているという。
そのうえで吉田氏は「膨大な数のデータを分析するために、脅威データベースをすばやく更新するとともに、新しい脅威を検出できるアプローチが求められる」と主張した。
エンドポイントにも次世代脅威インテリジェンスを
そこで吉田氏が提案するのが、クラウド型のセキュリティインテリジェンスだ。検知システムがサーバやアプライアンスなどに実装されるケースでは、膨大なデータを分析できなかったり、新しい脅威にすばやく対応するアルゴリズムを持たなかったりするという。クラウド上で脅威情報をリアルタイムに収集し、それを機械学習を通して分析することで、新しい脅威に迅速に対応できるようにする。
※クリックすると拡大画像が見られます
「セキュリティベンダーの多くは、ベイジアンネットワークやサポートベクターマシンと呼ばれるモデルを使って、人手での解析を行っている。これではスケーラビリティに乏しく、精度が低い。だが、我々は、最大エントロピー理論と呼ばれる手法を用いて、精度が高く、スケーラブルな分析を行っている」(吉田氏)
具体的には、クラウド上で「ウェブルート セキュリティインテリジェンス ネットワーク」という脅威データベースを構築し、膨大な情報を正確にスピーディーに分析しているという。ウェブルートの製品では、このデータベースと連携して、Webセキュリティ、モバイルセキュリテイ、エンドポイントセキュリティを提供する。また、ウェブルートの脅威インテリジェンスを他社の次世代ファイアウォール(NGFW)やイベントマネージャー(SIEM)と組み合わせ、自動的に社内のセキュリティ精度を向上するソリューション「Webroot BrightCloud セキュリティサービス」も提供する。
※クリックすると拡大画像が見られます
最後に、吉田氏は、「標的型攻撃の起点はPCであることが多い。エンドポイントセキュリティでは、クラウド型で精度の高い脅威インテリジェンスを活用してほしい」とアピールした。
