“3大セキュリティベンダー”はもはや「リーダー」ではない――Gartnerが辛口評価 という記事を見つけました
米調査会社Gartnerに勤続20年のアナリストによると、企業はこれまで長きにわたって「脅威の防御」には過剰な予算を費やし、「検知と対応」には十分な予算を投じていないという。だからといって、従来の防御中心のセキュリティ対策が近く消えてなくなるわけではない。
同社主催のセキュリティカンファレンス「Gartner Security and Risk Management Summit 2014」では2014年6月23日(米国時間)、「高度な脅威からの継続的な防御」というパラダイムの進化をめぐるセッションが開かれた。その席で、Gartnerの副社長で著名アナリストのニール・マクドナルド氏は、「ファイアウォールや侵入検知システム(IDS)、侵入防御システム(IPS)、マルウェア対策などの従来技術では、標的型攻撃は検知できない」と指摘した。
「まだ誰も見たことのない攻撃のシグネチャを作成するのは不可能だからだ」。マクドナルド氏はこう説明する。
「他に誰も見たことがない段階では、何を探すべきかが分からない。これがシグネチャベースのセキュリティ対策の限界だ」とマクドナルド氏は語る。「散弾銃とライフル銃では、身を守る方法は全く異なる。従来の防御の仕組みは、大規模な無差別攻撃向けのものだ」(同)
高度な標的型攻撃を検知して速やかに対処する必要性が高まる中、多くの企業が「迅速な検知と対応」を重視した新しいタイプのセキュリティ製品の導入を進めている。マクドナルド氏によると、こうした製品の目的は、「“問題のない”データやトラフィックがどう見えるかを理解し、ベースライニング(正常な状態からの逸脱の監視)や異常検知、事前障害予知(PFA)などの機能を使って、有意な差異を識別すること」だという。
「無差別攻撃に対する防御と、国家レベルで資金援助されている強く動機付けられた攻撃者に対する防御とは、全くの別物だ」と、マクドナルド氏は語る。
そこでマクドナルド氏が提唱するのが、「攻撃を予測し防御できる技術」と「シグネチャベースの製品が見落とすであろう攻撃を検知し対応できる製品」とを組み合わせた「アダプティブセキュリティアーキテクチャ」だ。
「全てを連係して機能させる必要がある。シグネチャは事前に用意することはできなくても、攻撃後であれば用意できる。必要なのは、何を探すべきかが分かった後に、新しいシグネチャとルールセットをエンドポイントとネットワークに配布できる能力だ」と、マクドナルド氏は説明する。
ベンダーの進化
マクドナルド氏によれば、アダプティブセキュリティアーキテクチャの必要性が高まる中、企業規模の大小を問わず、自社のリーチ拡大を目指すベンダー間の縄張り争いが活発化しているという。投資家は新興企業や事業買収に資金を投じ、多くのベンダーが急速に事業転換を推進している。
中でも特筆すべきは、標的型攻撃の対策製品を手掛ける米FireEyeだ。FireEyeは2014年1月にセキュリティインシデント管理ベンダーの米Mandiantを買収し、同年5月には、自社の脅威管理製品「FireEye Network Threat Prevention Platform(NXシリーズ)」に、不正侵入防御(IPS)機能を付加するアドオン「FireEye Network Threat Prevention Platform with IPS」を発表している。
FireEyeの最大のライバルである米Palo Alto Networksは、新興のセキュリティ企業である米Morta Securityを買収。クラウドベースのマルウェア防御サービス「WildFire」を強化するなど、従来の次世代ファイアウォール製品やIPS製品の強化を図っている。WildFireは、クラウド環境にある「サンドボックス」でコンテンツを実行し、マルウェアを検知するサービスだ。
マクドナルド氏によると、他にも米Cisco Systemsや米BlueCoat Systems、米Bit9など多くのベンダーが、防御の他、検知と対応の分野での機能充実を目指し、企業買収を進めている。
こうしたベンダーの製品は最終的には、中核となるエンタープライズセキュリティバスシステムを介して相互に連係されるというのが、マクドナルド氏の考えだ。このバスシステムにおいて、各社のセキュリティ製品が標準化された方法でセキュリティイベントや関連するメタデータを共有することになるという。同氏は、この新分野の特に優れた製品として、米McAfee(現在は米Intel傘下)のセキュリティ管理製品群を挙げている。
ただし、こうした管理製品には進化が必要だという。各社のセキュリティ製品は通常サイロ化されており、他社製品と情報を共有できないからだ。
「情報は常に同じベンダーから提供されるとは限らないのに、ベンダー間でこの種のコンテキスト情報を交換するためのメカニズムがない。業界は協力してメカニズムを定義するか、あるいはどこか1社が率先して調整を図る必要がある」と、マクドナルド氏は指摘する。
ベンダーを取り巻く状況は変化しており、「シグネチャベースのセキュリティ技術はもうあまり長くは存続しない」という考えも広く受け入れられている。だがマクドナルド氏は、こうした考えには賛成しないという。
「ファイウォールやホストベースのIPSに大々的に投資している組織にとっては、妥当性は低くなるものの、シグネチャベースの技術がまだ必要だ」と、マクドナルド氏は語る。「事前にシグネチャを用意することができない、というだけのことだ」(同)
それでもマクドナルド氏は、米SymantecやMcAfee、トレンドマイクロなど業界大手の消極的な戦略や製品イノベーションの欠如には辛口だ。
「リーダーはどこにいるのか。大手はリードせずに追従しているだけにすぎない。本当に業界をリードしているのは、イノベーションを推進している企業だ」と、同氏は語る。
最後にマクドナルド氏は企業に対し、アンチマルウェアやIPS、暗号化など、コモディティ化した技術のコストを見直し、支出を検知と対応に移行させるよう奨励している。さらに同氏は、高度なセキュリティ技術を担当できる社内スタッフのいない企業に対し、最近増加しつつあるマネージド型の脅威検知サービスの導入を検討するよう促している。
セッションに参加した米化学会社Eastman Chemicalの情報セキュリティサービス担当ディレクター、カレン・カーマン氏によると、同社は中央集中型のログ機能やデータ収集機能を追加し、防御中心のセキュリティ戦略から検知と対応を中心とした戦略へと比重を移しているところだという。また、実行可能な決定を迅速に下す方法を学ぶべく、社内のデータ分析チームと協力中だ。
「確実な予防策を講じようとするよりも、攻撃情報を収集して活用する方がはるかに容易だ」と、カーマン氏は語る。
前出マクドナルド氏とは違う意見になるが、医療機関向け情報サービス企業、米Truven Health AnalyticsのITリスク管理担当上級ディレクター、アルビン・リドル氏は企業に対し、「検知と対応にあまり重きを置きすぎないようにすべきだ」と警告する。
「恐らく一番難しいのは、うまく連係し合う製品を組み合わせて適切なエコシステムを構築することだ」とアルビン氏は語る。
最終的に組み合わせてくれるベンダーは?
米調査会社Gartnerに勤続20年のアナリストによると、企業はこれまで長きにわたって「脅威の防御」には過剰な予算を費やし、「検知と対応」には十分な予算を投じていないという。だからといって、従来の防御中心のセキュリティ対策が近く消えてなくなるわけではない。
同社主催のセキュリティカンファレンス「Gartner Security and Risk Management Summit 2014」では2014年6月23日(米国時間)、「高度な脅威からの継続的な防御」というパラダイムの進化をめぐるセッションが開かれた。その席で、Gartnerの副社長で著名アナリストのニール・マクドナルド氏は、「ファイアウォールや侵入検知システム(IDS)、侵入防御システム(IPS)、マルウェア対策などの従来技術では、標的型攻撃は検知できない」と指摘した。
「まだ誰も見たことのない攻撃のシグネチャを作成するのは不可能だからだ」。マクドナルド氏はこう説明する。
「他に誰も見たことがない段階では、何を探すべきかが分からない。これがシグネチャベースのセキュリティ対策の限界だ」とマクドナルド氏は語る。「散弾銃とライフル銃では、身を守る方法は全く異なる。従来の防御の仕組みは、大規模な無差別攻撃向けのものだ」(同)
高度な標的型攻撃を検知して速やかに対処する必要性が高まる中、多くの企業が「迅速な検知と対応」を重視した新しいタイプのセキュリティ製品の導入を進めている。マクドナルド氏によると、こうした製品の目的は、「“問題のない”データやトラフィックがどう見えるかを理解し、ベースライニング(正常な状態からの逸脱の監視)や異常検知、事前障害予知(PFA)などの機能を使って、有意な差異を識別すること」だという。
「無差別攻撃に対する防御と、国家レベルで資金援助されている強く動機付けられた攻撃者に対する防御とは、全くの別物だ」と、マクドナルド氏は語る。
そこでマクドナルド氏が提唱するのが、「攻撃を予測し防御できる技術」と「シグネチャベースの製品が見落とすであろう攻撃を検知し対応できる製品」とを組み合わせた「アダプティブセキュリティアーキテクチャ」だ。
「全てを連係して機能させる必要がある。シグネチャは事前に用意することはできなくても、攻撃後であれば用意できる。必要なのは、何を探すべきかが分かった後に、新しいシグネチャとルールセットをエンドポイントとネットワークに配布できる能力だ」と、マクドナルド氏は説明する。
ベンダーの進化
マクドナルド氏によれば、アダプティブセキュリティアーキテクチャの必要性が高まる中、企業規模の大小を問わず、自社のリーチ拡大を目指すベンダー間の縄張り争いが活発化しているという。投資家は新興企業や事業買収に資金を投じ、多くのベンダーが急速に事業転換を推進している。
中でも特筆すべきは、標的型攻撃の対策製品を手掛ける米FireEyeだ。FireEyeは2014年1月にセキュリティインシデント管理ベンダーの米Mandiantを買収し、同年5月には、自社の脅威管理製品「FireEye Network Threat Prevention Platform(NXシリーズ)」に、不正侵入防御(IPS)機能を付加するアドオン「FireEye Network Threat Prevention Platform with IPS」を発表している。
FireEyeの最大のライバルである米Palo Alto Networksは、新興のセキュリティ企業である米Morta Securityを買収。クラウドベースのマルウェア防御サービス「WildFire」を強化するなど、従来の次世代ファイアウォール製品やIPS製品の強化を図っている。WildFireは、クラウド環境にある「サンドボックス」でコンテンツを実行し、マルウェアを検知するサービスだ。
マクドナルド氏によると、他にも米Cisco Systemsや米BlueCoat Systems、米Bit9など多くのベンダーが、防御の他、検知と対応の分野での機能充実を目指し、企業買収を進めている。
こうしたベンダーの製品は最終的には、中核となるエンタープライズセキュリティバスシステムを介して相互に連係されるというのが、マクドナルド氏の考えだ。このバスシステムにおいて、各社のセキュリティ製品が標準化された方法でセキュリティイベントや関連するメタデータを共有することになるという。同氏は、この新分野の特に優れた製品として、米McAfee(現在は米Intel傘下)のセキュリティ管理製品群を挙げている。
ただし、こうした管理製品には進化が必要だという。各社のセキュリティ製品は通常サイロ化されており、他社製品と情報を共有できないからだ。
「情報は常に同じベンダーから提供されるとは限らないのに、ベンダー間でこの種のコンテキスト情報を交換するためのメカニズムがない。業界は協力してメカニズムを定義するか、あるいはどこか1社が率先して調整を図る必要がある」と、マクドナルド氏は指摘する。
ベンダーを取り巻く状況は変化しており、「シグネチャベースのセキュリティ技術はもうあまり長くは存続しない」という考えも広く受け入れられている。だがマクドナルド氏は、こうした考えには賛成しないという。
「ファイウォールやホストベースのIPSに大々的に投資している組織にとっては、妥当性は低くなるものの、シグネチャベースの技術がまだ必要だ」と、マクドナルド氏は語る。「事前にシグネチャを用意することができない、というだけのことだ」(同)
それでもマクドナルド氏は、米SymantecやMcAfee、トレンドマイクロなど業界大手の消極的な戦略や製品イノベーションの欠如には辛口だ。
「リーダーはどこにいるのか。大手はリードせずに追従しているだけにすぎない。本当に業界をリードしているのは、イノベーションを推進している企業だ」と、同氏は語る。
最後にマクドナルド氏は企業に対し、アンチマルウェアやIPS、暗号化など、コモディティ化した技術のコストを見直し、支出を検知と対応に移行させるよう奨励している。さらに同氏は、高度なセキュリティ技術を担当できる社内スタッフのいない企業に対し、最近増加しつつあるマネージド型の脅威検知サービスの導入を検討するよう促している。
セッションに参加した米化学会社Eastman Chemicalの情報セキュリティサービス担当ディレクター、カレン・カーマン氏によると、同社は中央集中型のログ機能やデータ収集機能を追加し、防御中心のセキュリティ戦略から検知と対応を中心とした戦略へと比重を移しているところだという。また、実行可能な決定を迅速に下す方法を学ぶべく、社内のデータ分析チームと協力中だ。
「確実な予防策を講じようとするよりも、攻撃情報を収集して活用する方がはるかに容易だ」と、カーマン氏は語る。
前出マクドナルド氏とは違う意見になるが、医療機関向け情報サービス企業、米Truven Health AnalyticsのITリスク管理担当上級ディレクター、アルビン・リドル氏は企業に対し、「検知と対応にあまり重きを置きすぎないようにすべきだ」と警告する。
「恐らく一番難しいのは、うまく連係し合う製品を組み合わせて適切なエコシステムを構築することだ」とアルビン氏は語る。
最終的に組み合わせてくれるベンダーは?