今のセキュリティ対策に求められるのは「これを入れれば大丈夫」という発想からの脱却と脅威を直視する姿勢セキュリティ製品は難しいが、理解する努力を怠ると攻撃を受ける恐れも

DXを支えるセキュリティ対策を議論するオンラインセミナー「ITmedia Security Week 2022春」が開催された。目まぐるしく環境が変化する現在、DXを加速するためのセキュリティ対策の在り方や、実戦的で投資対効果の高いセキュリティ対策が多数紹介された。本稿ではその中から、名和利男氏の基調講演とヴイエムウェア/SB C&Sの技術セッションの内容をお届けする。

» 2022年04月11日 10時00分 公開
[PR/@IT]
PR

基調講演:「この製品を入れれば安全だ」からの脱却を呼び掛けた名和氏

ALT サイバーディフェンス研究所
専務理事 上級分析官
名和利男氏

 昨今、多重脅迫型のランサムウェアによる被害が相次いで報道され、企業は危機感を抱いている。ただ、目先の対応だけに終わっていては、後手を取ることになってしまう。適切な対策には、脅威アクターの企図や行動を理解することが重要だ。

 オンラインセミナー「ITmedia Security Week 2022春」6日目の基調講演「私たちのサイバー環境の変化に伴い増大するサイバー脅威」では、サイバーディフェンス研究所 専務理事 上級分析官の名和利男氏が、昨今のウクライナ情勢を巡る動きも含めた最新のセキュリティ動向を解説し、企業経営層に根本的に求められる姿勢についてアドバイスした。

 昨今は効率化のため、あるいは業界の同調圧力を受けて、デジタル化、DX(デジタルトランスフォーメーション)に取り組む企業が増えている。これらは事業活性化に役立つ一方で、必要なセキュリティ対策をおろそかにしているとサイバー攻撃の対象領域を増やすことにもなる。「セキュリティ製品は一般にはまだまだ難しいと思われがちだが、それを理解する努力が必要。その努力を怠るとサイバー攻撃を受ける恐れがある」と名和氏は指摘する。

 もちろん、セキュリティ対策の必要性、重要性を感じて導入している企業もあるが、経営層にとって「この仕組みを入れれば安心だ」というものばかり選択され、「従業員や現場に負荷を与える結果につながっている節もある」(名和氏)という。名和氏は、サイバーセキュリティ戦略を踏まえつつ「経営層が意識を改革し、持続的にリーダーシップを発揮していかなければ、現場の効率性を確保した形でセキュリティ製品を導入するのは難しい」とした。

ALT 「リーダーシップ不在」のサイバーセキュリティ対策(提供:サイバーディフェンス研究所)《クリックで拡大》

 続けて名和氏は、ロシア、ウクライナ間で起こっているサイバー攻撃、いわば「サイバー戦争」の状況についても解説。「攻撃のベクトルとレベルが飛躍的に増大した国家によるサイバー攻撃が発生し、われわれはそれを目撃している」と指摘した。長期にわたって潜在化し、持続的に情報窃取を行うものであり、見つけようと思っても十分な能力や知識がないと見つけられないものになっているという。

 「このようなサイバー事案は、日本では発生しないと思っている方もいる。しかし、『これから来るの』ではなく『もう来ているのかもしれない』という見立てで、IT部門だけでなく、経営層やリスク管理部門もこの状況を深く観察し、脅威に備える必要がある」(名和氏)

 最後に名和氏は、子どものかくれんぼと、木に隠れるプロのスナイパーの姿を例に取り、企業がサイバー攻撃者から隠れたつもりで隠れていない実態と、さまざまな専門家や業界全体が協力しなければ見つけられないサイバー脅威の状況について説明した。

 そして「残念ながら“魔法のつえ”はない。何かセキュリティ製品を入れれば大丈夫というわけではない」ということを指摘した上で、「『脅威を知る、直視する』ことの重要性を認識し、普段から注意喚起、ディスカッション、リスクマネジメントフレームワークの参照など、さまざまな方向から対策に取り組んでほしい」として講演を締めくくった。

技術セッション1:ツールの積み重ねで複雑化したセキュリティを「シンプルに」する、VMwareの提案

ALT ヴイエムウェア
セキュリティ事業部
シニアセキュリティセールスエンジニア
大久保智氏

 続いて、ヴイエムウェア セキュリティ事業部 シニアセキュリティセールスエンジニアの大久保智氏による「VMware Securityはじまっています〜ITとセキュリティをシンプルに〜」と題したセッションが行われた。

 システムが複雑化すればするほど、セキュリティの課題はさらに増える。まず、攻撃対象範囲が増加し、管理者の目に見えない「死角」も増えてしまう。また、対策のためにあれこれとツールを導入したところ、運用面でも組織面でもサイロ化が進み、情報が分断化されてしまった結果、「自分たちが何を守るべきか」という本質が見失われ、コンテキストが欠如してしまう。

 ここ数年、セキュリティにも注力しているVMwareは「セキュリティをシンプルに」というビジョンの下、セキュリティ課題の解決を図っている。まず、各サービスにビルトインした形でセキュリティを提供し、「より簡単に」すること。そして、ツール間の連携を図り、組織間の溝を埋めることで「より迅速に」すること。最後に、インフラだけでなくアプリケーションやデータから得られる情報とセキュリティ情報を組み合わせて「より賢く」すること。いわば、セキュリティの再定義だ。

 VMwareは、2019年に買収した「Carbon Black Cloud」に加え、「VMware SASE(Secure Access Service Edge)」「Workspace ONE」といった製品群を通して、この3つの柱を実現する。これが「VMware Security」の構想となる。

 Carbon Black Cloudは、端末の保護に必要な機能を統合的に提供するセキュリティ製品で、インターネットに接続可能な環境であれば場所を問わずに監視することができる。VMware SASEは、URLフィルタリングやセキュアWebゲートウェイといったセキュリティ対策をクラウドで提供し、セキュリティを保証した形で場所を問わずに働ける環境を実現する。Workspace ONEは、あるユーザーが何らかのアプリケーションやデータを使いたいときに、デバイスにひも付く情報を分析し、信頼できる状態かどうかを確認した上でアクセスを制御する製品だ。

 また、VMwareは2021年の「VMworld 2021」で、クラウド間の通信状況に応じて必要なセキュリティ機能を提供する概念「EASE」(Elastic Application Secure Edge)を発表。まだコンセプト段階だが、今後製品として具体化する予定だ。

 さらに、VMwareはエンドポイントからワークロード、ネットワークに至るまで、さまざまなセキュリティ製品を連携させることで、セキュリティ運用をオートメーション化していく「XDR」というビジョンにも取り組んでいる。アプリケーションのデータやエンドポイント、ワークロードから収集した情報やログを解析し、脅威データベースに反映したり、能動的にアクションを取れるような仕組みを提供したりする。これはVMwareのセキュリティ製品だけに閉じた話ではなく、「インフラ、さらにはパートナーエコシステムという広い範囲にまたがる方針だ」と大久保氏は説明した。

ALT セキュリティ運用をオートメーション化するVMwareの「XDR Vision」(提供:ヴイエムウェア)《クリックで拡大》

技術セッション2:セキュリティを個別の機器から、あらゆるワークロードに分散/ビルトインした形へ

ALT ヴイエムウェア
ネットワーク&セキュリティ技術統括部
シニア セキュリティ スペシャリスト エンジニア
橋本賢一郎氏

 VMwareは「VMware Security」という枠組みを通してゼロトラストセキュリティの提供を目指している。その中で重要な柱となっているのが、エンドポイントとネットワークのセキュリティを統合した「Anywhere Workspace」だ。

 「分散型ビルトインセキュリティの高度化とクラウドへの適用」と題したセッションで、ヴイエムウェア ネットワーク&セキュリティ技術統括部 シニア セキュリティ スペシャリスト エンジニアの橋本賢一郎氏は、「これまでのセキュリティ対策には、主に2つの課題があった」と指摘する。

 1つ目は、強化してきたセキュリティ対策をさらにかいくぐる未知の脅威への対策。2つ目は、さまざまな製品を組み合わせてきたことによって顕在化した「サイロ化」だ。

 「多層防御にはさまざまなセキュリティ製品が必要だが、それらを階層的に入れることで多くのアラートが出てしまうという課題がある。この環境がさらにクラウドに広がることで、トラフィック制御や機器のパフォーマンスの限界といった新たな課題が生じつつある」(橋本氏)

 こうした課題に対してVMwareは、「分散型セキュリティアーキテクチャ」という解決策を提示している。ファイアウォールやIDS/IPS(不正侵入検知システム/不正侵入防御システム)、サンドボックスといった個別のアプライアンスが持っていた複数のセキュリティ機能を、全てのワークロードのNICごとに分散して適用する仕組みだ。パフォーマンスをリニアに向上させることができ、セキュリティ上の盲点をなくせるといったメリットが得られる。それが「NSX Firewall with Advanced Threat Prevention(ATP)」だ。

ALT ビルトインした分散型セキュリティ対策の実装イメージ(提供:ヴイエムウェア)《クリックで拡大》

 VMwareはさらに、喫緊の課題として浮上している未知の脅威への対策と、それでも起こり得る侵害への備えも強化している。

 まず未知への脅威に対しては、ハイパーバイザーのアーキテクチャに加え、独自アーキテクチャに基づくフルシステムエミュレーションをハイブリッドでサンドボックスに実装。今まで見えなかった、例えばサンドボックスを回避する仕組みを備えたマルウェアなどを見えるようにし、悪性のファイルを判定できるようにした。

 侵害への備えとして実装したのがNDR(Network Detection and Response)だ。NTA(Network Traffic Analysis)に加えて、IDS/IPSやサンドボックスのアラートなどを集約し、MITRE ATT&CKのフレームワークにマッピングさせるAIを実装した。

 「VMwareが収集した脅威インテリジェンス、ハイブリッドのサンドボックスによる解析結果、ノース〜サウス方向だけでなくイースト〜ウェスト方向のトラフィックデータをAIの学習に活用することで、正確に脅威を判定できることが特徴だ。アラート単位の管理ではなく、複数のホストやマルウェア、複数の攻撃ステージが含まれている攻撃キャンペーン単位で管理し、一網打尽にできる」(橋本氏)

 こうした機能を活用することで、まだ経験の浅いSOC(Security Operation Center)アナリストでも侵害単位で状況を把握し、「攻撃の見取り図」を基に適切に対処できるようになる。

 「さらに、Carbon Black Cloudで管理している各ワークロードの情報を組み合わせて管理することで、脅威の検知から当該端末の隔離、フォレンジックに至る一連の流れをリモートで行い、SOC運用を効率化できる」(橋本氏)

 VMwareは一連の機能をさらに強化し、クラウドにも拡張する計画で、それが先述のEASEというコンセプトになる。オンプレミスのデータセンター、マルチクラウド環境やSASEを同一のコンソールで一元管理し、同一のポリシーで管理できるようになるという。

ALT SB C&S
エバンジェリスト
大塚正之氏

 続いて、SB C&Sのエバンジェリスト、大塚正之氏がVMware製品活用のポイントを紹介した。

 「この先の世界は、オフィスに出社するかしないかの二者択一ではなく、クラウド、SaaSを活用したハイブリッドワークになる」と大塚氏は予測する。その前提の下、NGAV(次世代アンチウイルス)やUEM(統合エンドポイント管理)を組み合わせた脆弱(ぜいじゃく)性の対策や多層防御はもちろん、それでもすり抜けてくる未知の脅威についてはEDR(Endpoint Detection and Response)で検知し、迅速に対応する仕組みが重要だ。そして、これらに対応したCarbon BlackとWorkspace ONEの仕組みによって安全を保障した端末には、VMware SASEを通じてセキュアにクラウドなどにアクセスできる仕組みを用意する。

 「これらを包括したものがVMwareの提唱するAnywhere Workspaceであり、ゼロトラストセキュリティにつながる道だ」(大塚氏)

 セキュリティと生産性向上という相反する関係にどう線を引いていくのかは難しい課題に見える。これに対して大塚氏「VMwareは、このorをandに変えることができる。分散された働き方を阻害しない安全な世界を、Anywhere Workspaceで実現する」として、セッションを締めくくった。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:SB C&S株式会社、ヴイエムウェア株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2022年5月17日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。