ニュース

マカフィー、10の新製品で脅威対策ライフサイクルを実現

脅威情報のオープンソース化、分社後の新ロゴも発表

 マカフィー株式会社は、本社であるIntel Securityの名の通り、現在は米Intelの一部門となっているが、2017年第2四半期にも分社化し、現在の日本法人の会社名で、買収前の名称でもあるMcafeeに社名を戻すことが、9月に発表されている。10日に行われた記者発表会では、分社後の新ロゴが披露された。

 マカフィー 代表取締役社長の山野修氏は、分社化をしても米Intelが49%の株を保有し続けることに触れ、これがIntel本社も含めた意思決定であることを明確に述べた上で、分社の理由について、「コアコンピタンスに立ち戻ってサイバーセキュリティだけに特化した専業のブランド、会社になり、ゆくゆくはサイバーセキュリティで最大、最高の会社になっていく」とその目的を示した。

 日本法人であるマカフィーを含む米Intel Securityの社員数は世界で7500人。これはセキュリティベンダーとして世界でも最大規模だ。この体制で、今後も新製品の開発と技術革新を進め、「サイバーセキュリティ市場の拡大に努めていく」とした。分社化の時期については「(2017年)第2四半期としか発表していないが、早ければ4月にと考えてはいる」とした。

 現在のサイバーセキュリティを取り巻く状況については、ランサムウェアが昨年比で128%増、モバイルでのマルウェアが151%、マクロマルウェアのサンプルに至っては3倍となる200%以上増加していることに触れ、「今までPCを中心にしていた脅威が、モバイルなどさまざまなところに拡大してきている」とした。

 昨今話題になっているランサムウェアについても「企業だけでなく一般の家庭用PC、病院などが標的になっており、結果としてお金を払ってしまう事件が多い」と述べた上、被害額もこれまでのマルウェアと比べて大きく、例えば「CryptoWall」により2カ月間で請求された金額を合計すると325億円に達することを紹介。

 「世界中で起きており、1人では小さくとも全世界では大きな金額になる」とした。また、1つのエクスプロイトツールキットの開発により、開発者が得た収益は推定で128億円にも上るという。

 米Intel Securityが米国で先週開催したイベント「FOCUS 16」では、カーナビシステムにランサムウェアを感染されるデモが行われたとのことだ。「PCなら誰かを呼んで直してもらうが、車自体が止まってしまえば、おそらく普通の人は金銭を払ってでも復旧させたいと思ってしまう」とし、こうした自動車やIoTデバイスを対象としたサイバーセキュリティの脅威は、日増しに高まってくるとの見方を示した。

 日本国内では現在、国を挙げたサイバーセキュリティ対策が進んでいる。2015年12月に経済産業省が発行した「サイバーセキュリティ経営ガイドライン」では、経営者が死守すべき3原則と、セキュリティ指示すべき重要10項目が明確に定義されている。また、内閣サイバーセキュリティセンター(NISC)からは、電力やガスなど13業種に対して「重要インフラにおける情報セキュリティ確保に係る安全基準等策定指針」が示されている。総務省と経済産業省の下で産学官が参画するIoT推進コンソーシアムより、「IoT セキュリティガイドライン」が発表されている。

 こうした取り組みの一方、さまざまな業界で各種ガイドラインの施行が進み、CSIRT設置やサイバー演習の実施なども行われている。しかし、セキュリティにおける課題として、2020年までに18万人のエンジニアが不足すると経済産業省が発表しているように、セキュリティ人材の枯渇は深刻な課題となっている。

 また、マイナンバーの施行が開始された自治体でも、クラウドの構築やネットワークの分離といったセキュリティ強靱化への対策が主に都道府県レベルでは進んでいるものの、自治体による対策レベルの差が大きく、市町村レベルでみるとまだまだ対策が不足している地域も多いという。

 山野氏は、「セキュリティは経営課題と言えるが、経営者の理解不足の問題もまだ課題となっている。自治体に対しても来年以降、次のレベルの強靱化が望まれる。今後もさまざまな啓発活動を進めたい」と述べた。

 マカフィーでは、サイバーセキュリティ業界における活動として、ヨーロッパの警察機構である「Europol(ユーロポール)」、オランダ国家警察、ロシアのKasperskiと共同してウェブサイト「No More Ransom」を立ち上げ、ランサムウェアによる被害時に、ランサムウェアが作成されたツールキットを自動検出して解読キーを提供するツールキットを提供しているほか、「Cyber Threat Alliance」では、米Palo Alto、米Fortinet、米Symantecと脅威情報を共有し、お互いの製品におけるサイバーセキュリティを高める活動を行っている。さらに、「Intel Security Innovation Alliance」では、参加する150のIT企業と脅威情報を共有しているという。

 しかし山野氏はこうした取り組みについて「まだまだ十分ではない」とし、マカフィー社内で脅威情報をやりとりしているDXL(Data Exchange Layer)プロトコルでをオープンソース化し、一般向けに提供する「OpenDX」の取り組みを始めるという。すでにSDKがGithubにアップロードされており、誰でも自由に脅威情報の読み書きができる状態だという。

 「セキュリティベンダーは過去20年、それぞれが脅威情報を保有して競い、その差で飯を食ってきたが、それはもう古い」とし、「脅威情報の多寡は関係ない。多くの人にセキュリティの脅威を知ってもらい、製品を作ってもらうことが重要。そのためにいち早く共有することが大切だ。OpenDXLの取り組みは業界初。先進的なやり方でサイバーセキュリティの標準化、オープン化を進め、さらに取り組みに参画してもらう企業や開発者を増やしていく」とした。

 これまでもCyber Threat Allianceでは同様に脅威情報を共有していたが、異なるベンダーや組織間で脅威情報を共有し、業界全体で連携してセキュリティの強靱化を図る取り組みが、進化し続けるサイバー犯罪に打ち勝つ唯一の方法とした。

 次に、これからのセキュリティについて、「セカンドエコノミー」というテーマを掲げた。金銭や物質をやりとりしていたアナログを中心としたこれまでの経済活動がファーストエコノミーであり、ほとんどの商取引がデジタルを通じたやりとりになるこれからの経済活動を位置付けたもの。山野氏は「今までと違う新しい次元の経済、情報を中心としたデジタル革命が経済そのものに波及してくる」とし、そこでは「信用、財産、時間が必要になる。これを守るには、サイバーセキュリティがより重要になる」とした。

 山野氏は、自動車やレンタカー、タクシーの市場を大きく変えた「Uber」を例に、マルウェアにも、Uberのようにサイバー犯罪の在り方そのものを変革させる共有、オープン化の流れの中にある」とした。従来はマルウェア開発者と配布は同じ人間が行い、さらに金銭のやり取りも行うため、いわば足がつきやすかったが、開発されたエクスプロイトキットが共有されて犯罪が引き起こされ、やり取りされるのも多くはビットコインとなっているのが現状だ。

 また、2014、2015年は標的型攻撃が中心だったが、2016年は昔から存在していたランサムウェアが新技術を使って増えてきたことや、ネットワークカメラをボット化し、DNSサービスプロバイダーのDynへDDoS攻撃を行って、さまざまなオンラインサービスが停止させた事例を挙げ「いくつか想定外のことが起きている」とし、「今後、数十億のIoTデバイスが世界中で稼働する。ある日突然これらが攻撃を仕掛けたら、大変なことが起きる」と危機感を表明した。

 「ただし、セキュリティへのアプローチは昔と変わっていない」とし、マカフィーでは、こうした状況に対して、Protect Detect Correct、Adaptを循環させる脅威対策ライフサイクルに、引き続き力を入れていくという。

 このPDCAサイクルが循環すれば、TCO削減や製品統合、デバイスとクラウドの連携といった第1フェースを経て、第2フェーズではセキュリティオペレーションセンターやCSIRT運用やワークフローの自動化・効率化が実現するという。さらに第3フェーズでは、セキュリティのSaaS化や、ITシステム連携がより進むとした。

 マカフィーでは、こうした脅威対策ライフサイクルを強化する10の新製品や主要製品のバージョンアップを11月4日に発表している。最新版となる「McAfee Endpoint Security 10.5」と「McAfee Active Response 2.0」では、従来の静的な定義ファイルやシグネチャによるエンドポイント保護に対し、ローカルとクラウドの双方でマシンラーニングを活用して解析を行う「Real Protect」を実装。実行ファイル(.exe)の振る舞いを分析して未知の脅威に対抗するという。

 また、「DAC(Dynamic Applivation Containment)は、ダウンロードした実行ファイルをコンテナに隔離して動作させ、特定ディレクトリにファイルを作る、レジストリを書き換えるなど40種類以上の振る舞いルールに抵触するかどうかをチェックし、マルウェアであればシャットダウンするもので、こちらも未知のマルウェアやゼロデイ攻撃に対処するものとなる。「重なって動作するので、おそらく業界最高の検知率になるはず」(山野氏)だという。

 「McAfee Web Gateway」は、これまではアプライアンスとして提供していたIPSを仮想化し、パブリッククラウドやデータセンターなどで動作させ、ソフトウェアベースでネットワークセキュリティの監視ができるもの。クラウドサービスとして提供される。また、包括的データ保護を提供する「McAfee Data Loss Prevention(DLP)」、さらにCASB(Cloud Access Security Broker)テクノロジーを備えた「McAfee Cloud Data Protection」で、SoCやCSIRTを支援するとした。