参加の必要条件は、未登録のマルウエア実行ファイルを1日1000個共有すること。さらに、モバイルマルウエアを50個か、あるいはボットネットやC&Cサーバーの情報を週に100件共有することを求める――。
上記の厳しい条件を満たすセキュリティ企業のみが参加できる情報共有組織「サイバー脅威アライアンス(Cyber Threat Alliance:CTA)」が、セキュリティ業界の構造を変えつつある。
2014年5月に米フォーティネットと米パロアルトネットワークスが立ち上げたCTAには、同年9月に米マカフィー ラボと米シマンテックが共同創業メンバーとして加わったほか、2015年2月に米バラクーダネットワークスなど4社が加盟した。現在、20社以上が参加に興味を持っているという。
「もはや、サイバー脅威情報の囲い込みは、セキュリティ企業の差異化要因にならない」。創設メンバーであるパロアルトネットワークスのマーク・マクローリン会長兼CEO(最高経営責任者)は、CTAの意義についてこう語る(写真)。マクローリン氏に、サイバー脅威情報の共有を始めた理由と、サイバー攻撃対策トレンドの変化について聞いた。
CTAを通じたサイバー脅威情報の共有は、なぜ実現したのか。これまでは、未登録マルウエアのサンプルを他社に先駆けて取得、分析することは、セキュリティ企業にとって自らの実力を示し、ライバルを出し抜く絶好の機会だったと理解しているが。
かつては確かにその通りだった。CTAを実現できたのは、先進的なセキュリティ企業の差異化要因が「どんな情報を持っているか」ではなく「その情報を基に何をするか」に移っているからだ。
セキュリティ企業同士で情報を共有する試みはこれまでもあった。だがCTAは、マルウエア実行ファイルのサンプルを含めたディープレベルの情報を共有する点で、業界にとって大きな変化だと考えている。
こうしたディープレベルの情報共有は、顧客企業にも大きな恩恵をもたらす。
これまでは、それぞれのセキュリティ企業が異なる情報を囲い込んでいたため、顧客企業は複数のセキュリティ企業の製品やサービスを、パズルのピースのように組み合わせざるを得なかった。これは顧客企業の担当者にとって煩雑だ。
サイバー脅威情報が差異化要因でなくなったとして、セキュリティ企業は今後、どのような点で他社と差異化するのか。
今後の技術トレンドは「サイバー防御の自動化」だ。複数のセキュリティ機器を統合し、人手を介さずにサイバー攻撃の検知、分析、防御を実行できるようにする。これが差異化の源泉にもなるだろう。
セキュリティ機器が発する大量のアラートに、企業の担当者が人力で対応するのは、もはや限界になりつつある。
例えば米流通大手のターゲットから大量のクレジットカード情報が漏洩したケースでは、同社が導入していたセキュリティ機器の1つがサイバー攻撃を検知し、アラートを発していた。だが、この情報は、1日何千件ものアラートの中に埋もれてしまっていた。
ITの進化でサイバー攻撃のコストが劇的に下がっている。こうした膨大なアラートをいちいち精査するのは、もはや人間の能力では不可能になりつつある。
ファイアウオール、エンドポイントセキュリティ、脅威分析エンジンなどが、一つのプラットフォームとして自動的にシステムを防御する。このプラットフォームには、顧客企業の間で共有したサイバー脅威情報、さらにCTAなどで共有した情報が生かされる。この結果、人間は脅威のうち1%について注意を払えば良くなるだろう。
