複雑化する攻撃に備えるには中長期な対策が必要
「以前であれば企業のセキュリティ対策といえば、アンチウイルスソフトや事故や障害が生じた時の個別の対応で済んだが、今はそうはいかない。企業のシステムをとりまく状況は、とてつもなく複雑化している。」こう語るのは日本HPの増田博史氏。
たとえば、内部に侵入して企業のデータを勝手に暗号化し、金銭要求を行うなどの「身代金」型の犯罪などその手口は巧妙化しているという。
また、最近の地政学的なリスクやグローバルな政治環境を反映したハクティビズム(hacktivism)と言われる海外からの攻撃は、政府系だけでなく民間の企業も標的とされる。こうした標的型の攻撃は、場当たり的な防衛では全く歯がたたないのだ。HPが提供するセキュリティ・ソリューションもトータルかつ中長期的な視点のものになってきている。
「われわれはITのベンダであると同時に、オンラインでパソコンやプリンターなどのダイレクト販売を行うユーザー企業でもある。オンラインサイトとして膨大なクレジットのアカウントを持っているし、絶えざるハッキングの脅威にさらされている。ユーザーとしてさらされていることが、セキュリティ企業としての経験や知見につながっている」
ここ数年、HPはセキュリティのベンダの吸収や買収を戦略的におこなってきた。Fortify、ArcSight,3comの買収によるTippingPointの獲得などである。
最近の大手IT企業の合併は、「ライバルの市場と顧客を奪う」という戦略目的が多く、吸収・合併したあとの統合に失敗しているメガベンダーも多いが、HPの特長は買収した企業のソリューションの統合に力を入れていることだ。
このことが、現在の複雑化した企業の脅威に対応できるHPのセキュリティ・ソリューションの強みに結びついている。TippingPoint(IPS/IDS)、ArcSight(セキュア監視/ログ管理)、Fortify(脆弱性管理)、HP DVLabs(リサーチ)の連携と統合が、HPトータルセキュリティの基盤なのである。
連携と可視化がカギ
エンドユーザーからの企業の重要なデータへのアクセスが、集中的になったり異常値を示したりする場合に、IDS(不正検知システム)が不正侵入を検知し、IPS(不正侵入予防システム)がブロックする。この際の攻撃パターンと脆弱性を研究しているのがHP DVLabsであり、世界No.1の脆弱性発見数を誇る技術力により提供されるパターンファイルが、TippingPointの検知やブロックに活かされる。同様に、FortifyやArcSightにも活用されている。
「カギはそれぞれの連携と可視化です。たとえば異常なログインエラーが発生している、あるいは社内のルールやポリシーからの逸脱した行為や、脆弱性やパッチ適用等の状態評価など。これらが可視化され、発生後ではなくリアルタイムに可視化され検知される必要がある。日本ではまだIDSで事後的な検知にとどまるケースが多いが、大容量通信やビッグデータが進む米国では、多少の誤検知があってもIPSで自動的に遮断しておいて運用で対応するという流れになってきている。」(増田氏)
「モバイル to クラウド」時代のセキュリティとは
そしてセキュリティをとりまく複雑性の増大のもうひとつの背景は、企業コンピューティングの「モバイル to クラウド」の流れである。
スマートフォンなどのデバイスからクラウド上のデータへのアクセスが増えることにより、通信量も膨大なものとなる。また各社ごとの固有のクラウド環境などが構築されることで対策も個別になるということだ。「こうした大容量化と複雑性の中で、脆弱性を完全に根絶することは不可能。全体領域の中で何が死守すべきポイントかは経営判断ともいえる」と語るのは、同社の榎本司氏だ。
またモバイルの進展によってセキュリティの課題になるのが、個人のデバイスと活用の管理だ。この面でも日本HPでは、BYODから社内システムへのアクセスが以前から認められており、セミナーでは、その具体的な内容が語られるセッションもある。
Anonymous攻撃とAPT攻撃の違い
最近の脅威としては見逃せないのが、ハッカー集団「Anonymous」や中国・ロシアをはじめとする海外からのサイバー攻撃である。
増田氏によると、Anonymousによる主な攻撃は以下の3つの手法があるという。
1.DDoS- サービスやネットワークをクラッシュさせるために大量なパケットや通信を送る。
2.Doxing- 標的となる組織や団体の従業員や役員および各種の情報(個人情報等)を公開する。
3.Web Application Hacking- Webおよびデータベースから価値のある情報を窃取する。
「中国からのサイバー攻撃もそうですが、Anonymousなどの攻撃の特長は、一度に攻撃者を動員し総攻撃をしかけること。持続的に潜伏や妨害をおこなうAPT攻撃とは異なります。企業はこの大容量の総攻撃と潜伏型の攻撃の2種類への対応が必要だ。」(増田氏)
HP DVLabsでは、世界各国2000社以上のTippingPointユーザーに実際におこなわれたサイバー攻撃のモニタリングによる調査レポートを発行している。最近の調査では、攻撃源として検出された回数の多い国の上位10か国には、一位のロシアを始めとして、アメリカ、中国などが名を連ねている。
こうした最新の動向調査と、各領域でのトップレベルの技術を連携させるHPのセキュリティ・ソリューションは、日本でも多くの企業に注目されている。
10月17日、18日に開催される『IT Initiative Day/HPエンタープライズセキュリティ』でその全貌が解説されるだろう。
