[インタビュー] 日本の総合セキュリティ企業の強味を生かした標的型攻撃対策（トレンドマイクロ）

これまでは、組織内のネットワークに不正侵入する前の「入口対策」が主流でした。侵入後の情報の持ち出しを防ぐ「出口対策」、不正侵入後に、内部での攻撃をいち早く検知する「内部対策」の重要性がようやく認識されはじめています。

特集特集

2015年5月12日（火） 13時15分

株式会社イードが実施した「エンタープライズセキュリティアワード 2014」において、トレンドマイクロ株式会社の標的型攻撃対策製品（振る舞い検知・ネットワーク／メール）が多数の部門で顧客満足度1位を獲得した。

同社マーケティング本部パートナーマーケティング部大田原忠雄氏に、最近の標的型攻撃の動向と同社の対策製品のポイントと特長、今後の取り組みについて聞いた。

──昨今の標的型攻撃の動向や手口などについて、どんな変化がありますか

企業等が保有する金銭的価値のある機密情報を狙うという目的に変わりはなく、また、攻撃は複雑化するものの、既存の手法を組み合わせる傾向も大きくは変わっていません。ただし、POSシステムを標的にするマルウェア、あるいはオンラインバンキングの不正送金など、目的に対してより攻撃がダイレクトに行われる傾向があります。また、サイバー攻撃という観点でみると、従来はメールが主流だったのものが、いわゆる「HeartBleed」「Shellshock」をはじめとするWebサーバやオープンソース等の脆弱性を悪用するものが目立ってきています。

──そうした傾向を踏まえて、標的型攻撃対策というのはどのように変化していますか

まず攻撃に対する備えとして、公開サーバや社内の重要なサーバにはしっかりとした脆弱性対策が求められます。すぐにセキュリティパッチが適用できない場合には、トレンドマイクロでは「Trend Micro Deep Security」という製品で仮想パッチという対策手段を提供しています。

その上でお客様のネットワーク内に異常な通信が発生していないかをしっかり見ていく必要があります。これまでは、組織内のネットワークに不正侵入する前の「入口対策」が主流でした。侵入後の情報の持ち出しを防ぐ「出口対策」、不正侵入後に、内部での攻撃をいち早く検知する「内部対策」の重要性がようやく認識されはじめています。

──「内部対策」のポイントはどこにありますか

内部対策により、疑わしい通信を検知するアラートが増え、管理者の負荷が高まるという問題もあります。内部対策をしてログには異常を示す兆候があったのに管理者が見逃してしまった、というのでは、何のために対策をしたのか分からなくなります。

実際、標的型攻撃対策のためにネットワークの監視ツールを導入していたにもかかわらず、管理者がアラートを見逃したため、膨大な顧客情報が窃取されたケースもあります。このケースでは経営陣が辞任に追い込まれています。甚大な被害につながる恐れのある標的型攻撃は、経営視点から見ても、経営に直接打撃を与える課題として捉えられつつあります。

──トレンドマイクロでは、こうした問題にどう対応していますか

個別のセキュリティ製品だけでは、標的型攻撃に対して十分な対応ができません。検知、分析から対処まで連携していることが重要です。新しい検知の仕組みである標的型攻撃対策製品を導入したら、従来の対策製品が不要になるかといえばそうではありません。

たとえば、私たちの「Trend Micro Deep Discovery Inspector（以下 DDI ）」は、攻撃を「検知」して「分析」し可視化する製品群ですが、DDIで分析された結果は従来のトレンドマイクロ製品にも共有されます。結果的にユーザーの管理工数も大きく削減できる事が期待できます。

──セキュリティのライフサイクルに渡る対策が、攻撃を防御するカギになるのですね。

風邪薬にたとえると、以前は「総合感冒薬」があれば多くの患者に有効でした。今は、攻撃手法、侵入経路、マルウェアの種類など、それぞれの患者さんの症状にあった「処方箋」が必要です。これが、私たちが「カスタムディフェンス」と呼ぶ標的型攻撃対策の考え方です。中核を担うDDIで攻撃を監視し、疑わしいファイルはサンドボックスで実行させ、その動作を分析します。分析結果は、ブラックリストとしてクラウド上の脅威情報のデータベースである「Trend Micro Smart Protection Network」というビッグデータに反映され、その情報はエンドポイントやゲートウェイの対策製品にも共有されます。

──日本企業への攻撃、被害が明るみにではじめて以降、サンドボックス製品が過去2年くらいで、ある程度行き渡った印象があります。しかし、入れてはみても運用管理が難しい。そこで、各社がサンドボックス製品運用のアウトソースサービスをはじめている。こうした状況で、総合力のあるセキュリティベンダとして、改めてトレンドマイクロの標的型攻撃対策の存在感が増していると思います。トレンドマイクロは、総合的な製品ポートフォリオで開発を行い、販売し、コンサルティングや運用支援、日本国内のさまざまなインテグレータと連携したサポートまで提供していますね。

私たちは日本企業ですので、日本のお客様の声を製品にフィードバックしやすいというのは、大きな優位性と考えます。また、私たちは製品のメーカーとして、単に道具を作って売るだけではなく、道具の使い方、道具を通じて得られた知見に対してどうお客様をサポートするかを大事にしています。例えば、セキュリティ運用を支援して欲しいというお客様には、パートナー様のマネージドサービスをお選びいただくことも可能です。首都圏だけでなく各エリアのパートナー様と広く協業し、DDIを使ったマネージドサービスを展開しています。こうした協業を進めることで、お客様それぞれの要望に応えていきたいと考えています。

──トレンドマイクロは、インターネットの黎明期からセキュリティ製品を提供しつづけて来ました

私たちは、従来のセキュリティ製品との連携による相互作用を大切にしています。新しい対策製品を導入することで、従来導入していた対策製品がより生きる、運用が楽になるとか、脅威がより可視化されてきたという総合力が、満足度の一つの要因だと考えます。

また、導入後の運用支援、インシデントレスポンスまでしっかりサポートし、運用サービスが必要であればパートナー様とも連携が可能です。以前お客様から、あるインシデントの対応支援時に「トレンドマイクロは逃げない」という言葉を頂戴したことがあります。自社製品への責任も、ご満足いただいている一つの要因ではないでしょうか。

──今後のバージョンアップなどの予定があれば聞かせて下さい

DDIをはじめ、引き続きバージョンアップを行っていきます。そのほか、今後期待が大きいSDN技術と、DDIなどトレンドマイクロのセキュリティ製品を連携させることで、攻撃を検知した際、瞬時に自動制御するソリューションの共同開発をNEC様と進めています。また、主要なSIEM製品とも連携し、より広い脅威情報の相関分析することで、脅威特定に活かします。

さらに、検知した脅威に対して、組織内でシグネチャを自動生成、企業内端末に配信するソリューションの提供も予定しています。

従来のセキュリティ投資を活かしながら、新しい技術、製品、サービスと連携させることで、保護、検知、分析、対処までを実現することが、今後の大きな流れの一つになると思います。

──ありがとうございました

トレンドマイクロは、明日2015年5月13日から15日まで東京国際展示場で開催される「情報セキュリティEXPO春」に出展し、Deep Discovery Inspetor、Deep Discovery Email Inspetor、Trend Micro Deep Security の各製品展示とデモを行うほか、1コマ10分のセッションを複数用意し、「標的型サイバー攻撃の新しい手口」「ウイルスバスターコーポレートエディションとの連携による標的型攻撃対策ソリューション」「組織内でシグネチャを自動生成し配信するカスタムシグネチャ」などについてプレゼンテーションを行う。

また、5月13日午前9時30分から10時30分まで「日本における標的型攻撃の最新技術動向と実態」と題し専門セミナー会場にて、同社サイバー攻撃レスポンスチーム1課上級スレットディフェンスエキスパート新井悠氏による講演（有料）も行われる。