[Security Days 2015 インタビュー] トレンドマイクロ、マイクロソフト、FFRIとの連携で実現する先進的防御(NTTコミュニケーションズ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.23(水)

[Security Days 2015 インタビュー] トレンドマイクロ、マイクロソフト、FFRIとの連携で実現する先進的防御(NTTコミュニケーションズ)

研修・セミナー・カンファレンス セミナー・イベント

3月5日から2日間にわたって東京 JPタワー(KITTE)で開催される「Security Days 2015」は、国内外のセキュリティベンダーによるセミナー中心のイベントだ。多くの企業や専門家が最新知見の講演を行う。

3月5日、「深化する脅威、広がる攻撃対象-実例ベースで考える、効果的なセキュリティマネジメントの再スタート」と題した講演を行う、NTTコミュニケーションズ株式会社 経営企画部 MSS推進室担当部長であり、セキュリティ・エバンジェリストである小山覚氏に、最新の脅威動向や同社のソリューション、セッションの見どころなどについて話を聞いた。


――小山さんが気になっている最近の脅威動向は何ですか。

IoT のセキュリティ対策が気になっています。タグやセンサーなど、世界中で500 億といわれるいろいろなデバイスがインターネットにつながる時代になります。そのセキュリティ対策は民間企業一社では実現できません。国として対応を講じていかなければなりません。しかし、このような大規模なセキュリティマネジメントは誰も経験したことがありません。しかも IoT デバイスは 10 年くらい使用されるものが多いと想定されますが、10 年もの期間保持できるセキュリティのアーキテクチャは現状世界にも存在しません。どうやってそれを考えていくかが重要です。

具体的な対策としては、例えばグローバル IP を使用せず、プライベートIPアドレスの空間を、誰でも簡単にIoTのデバイスで使用できるような仕組みをキャリアやクラウド事業者が連携して作ることです。これにより、通信をひとつのゲートウェイに集約、正当な管理者のみがデバイスを操作できるようになります。そういった環境できちんと動作するIoTデバイスを設計段階から考えてメーカーの皆さんが作っていく、みんなでIoTを便利で安全な新しいビジネスの基盤にしていく必要があります。そんな単純な議論すら、世の中で始まっていないのが現状です。

このIoTセキュリティの推進には複数の業界が関係しますから、たとえば国が音頭を取って、民間企業や有識者も含めて問題をシェアするような仕組みが必要になるでしょう。いま考えておかないと、将来に向けてかなりリスクを残すことになる。今が取り組むいいチャンスだと思っています。


―― IoTデバイスに対する脅威は近い将来に予想される新たなセキュリティリスクですが、足下の標的型攻撃の対策にどの企業も苦労しています。APT 対策として、新たにマネージドセキュリティサービス WideAngle にふたつの技術を追加すると聞きました。

ひとつめの「WideAngle マネージドセキュリティサービス RTMD Sandboxシェア型(仮称)」は、「リアルタイム・マルウェア・ディテクション」の略称で、特にトレンドマイクロのゲートウェイ製品を利用する企業に対して、未知のウイルスの侵入検知から分析、防御までを一元的に提供するサービスです。

従来のサンドボックスは高価で、従業員数が約1 万名を超える規模の大企業でないと費用対効果が低く、中堅・中小規模企業にとっては導入が現実的ではありませんでした。そこで、本サービスではサンドボックスをマルチテナント型で提供することで従業員数数百~千名くらいの企業をターゲットに標的型攻撃対策の推進を図ることにしました。

未知のウイルスだけを検知する装置はいくつかあります。しかし、それらはあくまで検知ソリューションであって、防御まではしてくれません。RTMD Sandboxシェア型(仮称) は、自社に届いた怪しいファイルをサンドボックスでチェックし、ウイルスであった場合にはパターンファイルを作成し配布し、スキャンして感染が見つかれば確実に駆除します。駆除は高度な技術を必要とし、感染ファイルの削除はできても、復元を含めた駆除は難しいのですが、RTMD Sandboxシェア型(仮称)では検知から防御、駆除までをワンパッケージで提供することが可能です。

つまり、本サービスによりユーザー企業は、これまで検体をベンダに届けたり、そのフォレンジックのために第三者にお金を払うといった営みから解放されるのです。


――アンチウイルスベンダは多数ありますが、トレンドマイクロを協業相手に選んだ理由は何ですか。

NTTコミュニケーションズは2003年からSOCサービスを提供・運営しておりますが、トレンドマイクロは、これまで弊社に柔軟なウイルス解析や、当時どこもやっていなかったようなスペシャルな対応をしてくれました。また、本社が日本に存在しているため日本のマーケットを熟知しており、彼らの強みやノウハウを活かしながら一緒にサービスを作ってくれることが、今回も組んだ大きな理由です。


――もうひとつの技術「Zero day Attack Protection(仮称)(以下、ZAP)」は、どんな技術ですか。

ZAP は、すでにサンドボックスなど高度なセキュリティ対策を導入している企業向けに、さらに強固な防御を実現するためのソリューションです。

未知のマルウェア対策としてサンドボックスは有効です。仮想環境で攻撃を検知する能力には目を見張るものがあります。しかしサンドボックスの導入の仕方によっては、実際の通信をコピーしたデータに対してサンドボックスを機能させますので、攻撃も検知できる代わりに、その攻撃はクライアント端末まで届いてしまいます。そこが課題でした。ZAP はこの課題に対してマイクロソフトと FFRI と連携してソリューションを提供するものです。

Windows 各種ログレポートに「Windows エラーレポート」というものがあります。「エラーを報告してもよろしいですか?」と表示されるあれです。これは、Windows で起きたクラッシュダンプをセンターに送って分析する仕掛けなのですが、マイクロソフトによると、エラーレポートの 70 %はソフトウェアのバージョンの不具合だそうです。一方、残りの30 %は攻撃やセキュリティに関する問題だと言われています。

マルウェアも他のソフトウェアと同様に、環境が合わないと上手く動作せずにクラッシュします。標的型攻撃などで長期間潜伏している間もクラッシュさせることがあるかもしれません。クラッシュするという観点では、通常の業務アプリケーションもマルウェアも同じなのです。つまり、クラッシュダンプを分析した結果、ゼロデイ攻撃を発見したり、マイクロソフトも知らない脆弱性を狙った攻撃を見つけられるのではないかと考えています。

ZAP の脅威分析システムは、マイクロソフトが検知したクラッシュダンプと、FFRI が止めた攻撃の情報をセットで送って分析を行います。この2つを合わせて分析することで、攻撃元 URL や攻撃コードといった攻撃情報を抽出できます。

――当日のセッションやブースの出展について教えてください。

ブースでは、SIEM を使った相関分析の実際のデモをお見せする予定です。アナリストの着眼点でのデモは珍しいと思いますので、見どころのひとつだと思います。また、わたしのセッションでは、NTTコミュニケーションズが実際に攻撃の被害に遭った経験を踏まえ、そこから社内のセキュリティマネジメントを抜本的に立て直した事例などをご紹介します。自社の恥ずかしい事例ですので、胸を張ってお話しできる内容ではありませんが、セキュリティ対策の体制づくりをご検討中の皆様には、興味を持って聞いていただけるように頑張りたいと思います。

――ありがとうございました。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

研修・セミナー・カンファレンス カテゴリの人気記事 MONTHLY ランキング

  1. FFRI 鵜飼裕司の Black Hat USA 2017 注目 Briefings ~ マルウェアの復活

    FFRI 鵜飼裕司の Black Hat USA 2017 注目 Briefings ~ マルウェアの復活

  2. あのランサムウェアはいくら儲かったのか? Locky が 780 万ドル、WannaCry は?

    あのランサムウェアはいくら儲かったのか? Locky が 780 万ドル、WannaCry は?

  3. サイバー犯罪捜査に正しい知識と技術を - 静岡のITベンチャー

    サイバー犯罪捜査に正しい知識と技術を - 静岡のITベンチャー

  4. これまでの 20 年とこれからの 20 年 ~ Black Hat 2017 ジェフ・モス開会挨拶

  5. 開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation)

  6. 「CODE BLUE 2017」は11月、一般向けおよび女性向けCTF国際大会を初開催(CODE BLUE事務局)

  7. ランサムウェアの歴史と未来 - 世界最初のランサムウェアはフロッピーを郵送?(ESET)[Security Days Spring 2017 レポート]

  8. 高度IT人材の発掘~セキュリティ・キャンプの応募課題がすごすぎる件

  9. アジア最大規模の国際セキュリティカンファレンス ISEC 2017、韓国ソウルで9月開催

  10. コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×