相変わらず猛威をふるう標的型攻撃。米McAfee(マカフィー)では、ピンポイントでターゲットを狙ってくる標的型攻撃を、これまで主流だったブラックリスト方式で防ぐのは難しいとして、対抗するための別のセキュリティソリューションを開発している。マカフィーでエンドポイントセキュリティを担当するCandace Worley氏に話を聞いた。
世界中で標的型攻撃が話題になっています。マカフィーとしては、どのように認識していますか?
標的型攻撃は、世界的に増える傾向にあります。これまでのように、単にシステムを止めるのではなく、データを盗むことが彼らの標的になっています。このタイプの攻撃の特徴は、非常にインテリジェンスがあるということです。つまり、誰を狙えばいいのか、どこにデータがあるのかということを犯人側はわかって攻撃しています。
一番の問題は、企業が自分たちを保護するたで、いまだにブラックリストに頼っている点です。標的型攻撃のような対象を絞った攻撃には、ブラックリストはあまり役に立ちません。
標的型攻撃を見つけるソリューションはいくつかありますが、いずれにしてもネットワークやエンドポイントの異常な振る舞いを見つけていかなければなりません。また、それを複数の階層に渡って実行していかなければならないという、非常に手間の掛かるものです。
そのような標的型攻撃に対するマカフィーの対策を教えてください。
標的型攻撃に対しては、2つの重要なキーワードがあります。1つが「Security Connected」プラットフォームで、いわゆる統合型のセキュリティテクノロジーです。つまりネットワークでおかしな振る舞いがあればエンドポイントに通達するし、その逆のエンドポイントで発見したおかしな振る舞いをネットワークに知らせることもできます。
このプラットフォームには共通の管理フレームワークがあります。データベースの中のデータを見ながら、インテリジェンスやアナリティクスを使うことで、管理インフラから入ってくる何百万個という警告の中で、どのタイプの警告に一番注意を向けたらいいのかを判断します。
さらに、「Global Threat Intelligence」という基盤を提供します。この基盤の特徴は、ネットワークから入ってくるデータと、エンドポイントから入ってくるデータの両方をクラウド上に格納するという点です。そのため、ネットワークのソリューションしか使ってないユーザーもエンドポイントから入ってくるデータを活用できるし、反対にエンドポイントのソリューションしか使っていないユーザーもネットワークで検出した情報を活用できます。
2番目のキーワードが「Context-Aware Security」です。これはコンテンツの話ではなく、そのときの状況や環境を認識しながら適切にセキュリティを保持するという意味です。これは今、企業が直面している複雑な環境を反映したものです。
最近は、いろいろなタイプのデバイスが普及してきています。また、アプリケーションのインストール方法も変わってきていますし、個人のデバイスと会社のデバイスとの境目がだんだんなくなってきていることが背景にあります。こうした状況に合わせ、コンテキストが変わると、瞬時かつ動的にポリシーを変えてセキュリティを確保するのが「Context-Aware Security」です。
例えば、ある従業員が会社のラップトップを持って出張に出掛けて、ホテルのネットワークを使いながら、会社のVPNにアクセスして会社の財務データを見たとします。これは、ごく正常な行為なので、通常のアクセスポリシーが適用されることになります。一方、同じ従業員が休暇中に、同じラップトップを持ち出して、Webブラウザを使って自分のメールを見ようとした場合はどうでしょう。その中に機密情報が含まれる場合は、管理コンソールが自動的にそれを把握した上で、きちんとしたネットワークではない公共のインターネットからアクセスしていると判断して、セキュリティのレベルを変えられるようにすることを考えています。このようにすることで、企業のセキュリティはさらに強化されます。
このように、ブラックリスト方式から離れて、状況に応じてセキュリティの内容を変えていくという方向に、どんどん変わろうとしています。