米プロテクトワイズがクラウド型脅威解析／可視化基盤「ProtectWise Grid」を提供 これまでの製品と何が違うのか：次世代セキュリティ対策は「UI」も大事

米プロテクトワイズが、クラウドを活用した脅威解析／可視化基盤「ProtectWise Grid」を日本で提供を開始する。これまでのソリューションと何が違うのか。どんな効果が期待できるのか。キーパーソンに話を聞いた。

[高橋睦美，＠IT]

　サイバー攻撃の増加、複雑化を受け、その侵入を防ぐ「防御」の観点だけではなく、「いち早く脅威を検知」して、早期対応につなげるためのソリューションに注目が集まり始めている。米プロテクトワイズもそうしたソリューションを提供する1社だ。同社が提供する「ProtectWise Grid」は、クラウドを活用して膨大なネットワークトラフィックを記録、解析した上で、脅威の状況をグラフィカルに表示する機能を備えている。

米プロテクトワイズ 共同創業者兼CEO スコット・チェイスン氏

　米プロテクトワイズ 共同創業者兼CEO（最高経営責任者）のスコット・チェイスン氏によると、2017年4月現在、セキュリティ業界は大きく3つの課題を抱えているという。1つ目は、標的型攻撃に代表される通り、サイバー攻撃が長期にわたる持続的なものになっており、かつ、狙いも絞られるようになったこと。2つ目は、既存のセキュリティ対策製品のほとんどがポイントをカバーするまでのソリューションに終わっており、導入はもちろん、運用コストも高くなりがちであること。そして3つ目にして最大の課題が、それらの対策に必要なセキュリティ人材が不足していることだ。

　「サイバー攻撃が複雑化し、かつ持続的になっているにもかかわらず、提供されているのはポイント単位のソリューションばかり。その上、セキュリティ対策のための人的リソースは枯渇しつつある。私たちはこうした課題に対し、可視性を提供するという新しい考え方で取り組む。クラウドの力を活用して大規模なデータ処理を行い、その結果を洗練されたユーザーインタフェース（UI）で提供することが特長だ」（チェイスン氏）

クラウドを活用し、過去には不可能だった規模でパケットを収集し、可視化する

　プロテクトワイズでは、Amazon Web Services（AWS）上に構築したデータ収集／解析／可視化プラットフォームと、顧客側に設置してパケット情報を収集するソフトウェアセンサーを組み合わせた「ProtectWise Grid」を提供している。

　ProtectWise Gridのソフトウェアセンサーは、オンプレミスのDMZ（DeMilitarized Zone）はもちろん、クラウド上に置かれたプロキシサーバやネットワーク機器のミラーポートからパケット情報を収集し、プロテクトワイズのクラウド基盤へ集約する。この際、パケット本体だけでなく、ヘッダ情報やNetFlowなども選択的に組み合わせて監視できる。一連のデータは、プロテクトワイズのクラウド基盤上でシグネチャのマッチング、振る舞い分析、ヒューリスティック分析、機械学習など、複数の手法を組み合わせて解析され、リアルタイムに可視化される。この分析された情報から、侵入を早期に検知し、さらにフォレンジックに活用できるとチェイスン氏は説明する。

　ネットワークパケットをフルキャプチャーして分析するというアプローチ自体は以前から存在しており、特に目新しいものではない。しかしProtectWise Gridは、クラウドを活用したSaaS（Software as a Service）型ソリューションとして展開する。導入の手間や初期費用を省くだけでなく、収集可能なパケットの拡張性を確保していることが大きな特長となる。

　「ネットワークで起こること全てをメモリ（記憶）することが、私たちのプラットフォームの基本だ。例えば、銀行やオフィスでは監視カメラを設置し、誰がどんな振る舞いをしているかを全て記録している。それと同じように、クラウドを活用して、ネットワークで起こること全てを記録する」（チェイスン氏）

　もう1つの特長は、リアルタイム分析だけでなく、過去に発生した攻撃を検知する「タイムマシン機能」を備えていることだ。情報流出が発覚してから、数カ月前にゼロデイ脆弱（ぜいじゃく）性を悪用されて侵入されていた事実に気付くことがある。数カ月前のインシデントとなると、詳細を探ろうにも肝心のログはもちろん、パケットデータも残っていないことが多い。ProtectWise Gridのタイムマシン機能によって、こうした課題を解決できるという。

　「例えば世界アンチドーピング機構では、国際的なスポーツ大会に出場する選手のドーピング検査を行うと同時に、サンプルを保存している。薬物を検出できる新たな検査方法が生まれたら、過去にさかのぼって再検査を行うのだ。ProtectWise Gridは、これと同じことをサイバーセキュリティの世界で実現する。新しいシグネチャや新しいインテリジェンスを用意できたら、保管されたデータを再度スキャンする。この施策によって、顧客は脅威を検出するまでの時間をさらに短縮し、迅速に対応できるようになる」とチェイスン氏は述べた。

クールなUI「Heads Up Display」を採用した理由

　まるでSF小説やアニメに登場しそうな「Heads Up Display（HUD）」と呼ばれるUIも、ProtectWise Gridの特長の1つだ。

　チェイスン氏によると同社では、ハリウッドで活躍していたCGデザイナーを迎えてUIをデザインするなど、セキュリティ対策の「プレゼンテーション（見た目）」にも力を注いでいるという。

　「人材不足が叫ばれる中、少ない人手で多くのインシデントに対応するには、問題が深刻化する前に見つけ出し、プロアクティブに分析していくことが必要。“見た目”はそのためにも大切だと考える」（チェイスン氏）

一目で状況が分かるようにし、インシデント対応を支援することを狙ったUI「Heads Up Display」

　セキュリティ製品のUIは、幾つかのペインに分けて、イベントを見やすく並べつつ、ドリルダウン形式で詳細を把握できるような仕様が一般的だろう。これに対してProtectWise Gridでは、黒色基調の画面にネットワークコネクションの情報をグラフィカルに表示するUIを採用している。幾つかのタブを切り替えることで、イベントや脅威の詳細を確認したり、前述のタイムマシン機能を活用して時系列に沿って脅威の動きを確認したり、特定のマルウェアや不審な通信にひもづくIPアドレスをマップ的に示したりすることができる。

　また、単にテキストで脅威の詳細を説明するだけでなく、「偵察」「配送」「遠隔操作」といったように、サイバーキルチェーンにおける「段階」をグラフィカルに示すことで、専門知識を持たないオペレーターでもリスクを一目で把握できる仕組みにした。これは、誤検知や過検知を減らす手助けにもなるという。

　プロテクトワイズでは2017年4月現在、VR（Virtual Reality：仮想現実）技術を組み合わせた「イマーシブ・セキュリティ」と呼ばれる新しいUIの開発も進めている。監視対象とするデバイス、サーバ、リソースを「家」や「建物」に、VLANセグメントや部署単位のグループを「街区」になぞらえ、まるでゲームの「シムシティ」のように表示し、どの番地間で、どんな通信が行われているかを俯瞰（ふかん）できる可視化システムのUIとなるようだ。

「イマーシブ・セキュリティ」と呼ばれる新しいUIも開発している

　「プロテクトワイズでは、知識を持った専門家でなくても状況が分かるよう、セキュリティをユーティリティーモデルにしていく。現時点では、セキュリティアナリストになるのはとても大変だ。Pythonやシェルを使いこなしながらログ分析などに取り組める、一定以上のスキルが必要となる。しかし次世代のセキュリティアナリストは、ビジュアルの力を借りてバーチャルにコラボレーションできるようになるだろう」（チェイスン氏）

　同時に、ProtectWise Gridと他社が提供する製品や脅威インテリジェンスとの連携機能も強化していく。現時点でも顧客が独自に脅威インテリジェンスを組み合わせることは可能だが、今後は、API（Application Programming Interface）経由で次世代ファイアウォールなど、さまざまな新世代セキュリティ製品と連携して、不審な通信をブロックし、特定のデスクトップをネットワークから隔離するといった形で対応措置がとれるように連携を図る方針を示した。

　ProtectWise Gridには、通常の企業向けの「Enterprise」とクラウドサービスの利用状況を可視化する「Cloud」、産業制御システムのネットワークを可視化する「ICS」という3つのモデルがある。日本ではパロンゴを販売代理店として拡販する。利用料金は、ソフトウェアセンサー単位ではなく、収集するパケットの量とメモリの蓄積期間に応じて定められる仕組みを採用するという。規模にもよるが、年間で数百万円程度となる見込みだ。

　パロンゴ CEOの近藤学氏は、「クラウドを積極的に活用している企業ならば、シャドーIT化している環境を可視化できるメリットがある。中にはクラウドにパケット情報を送信することに抵抗感を感じる顧客もあるだろうが、ヘッダ情報のみ収集するといった具合に設定して導入することも可能だ」と説明。日本語対応やSOC業務も含めた運用支援を組み合わせて提供していくとした。