「どの組織や企業でも100％侵入される」ことを前提に、攻撃の検出と対応を行うEDR製品――米Cybereason

　Cybereasonは、サイバーセキュリティの製品やサービスを提供する会社だ。特に、従来のセキュリティ対策ソフトをかいくぐって感染した後の検出や対応を行うEDR（Endpoint Detection and Response）を主な製品としている。なお、同社は、イスラエル国防省のサイバー諜報機関「8200部隊」の出身者たちが創設した。

　日本では、ソフトバンク株式会社との合弁でサイバーリーズン・ジャパン株式会社を設立している。ソフトバンクグループの法人向けイベント「SoftBank World 2018」に合わせて来日した、CybereasonのCVO（Chief Visionary Officer）兼共同設立者のYossi Naar氏に、製品やサービスの特徴とそれが求められる背景について聞いた。

CybereasonのCVO兼共同設立者のYossi Naar氏

――改めてCybereasonについて説明をお願いします。

Naar氏：従来のセキュリティ製品は、企業内に不正侵入されないためのものです。しかし、われわれは「どの企業や組織でも100％侵入される」と考えています。そこで、それを前提に、従来の製品をすり抜けたものを見付けるための製品やサービスを提供しています。

　もともとはPCなどのエンドポイントを守る製品から始めて、いまでは企業を守ることにフォーカスを移し、さらにはIoTなどさまざまな機器を守るところにも広げています。

――Cybereasonの製品やサービスについてもご紹介ください。

Naar氏：製品として代表的なものに、Cybereason EDRがあります。企業のPCやサーバーといったエンドポイントに導入する製品で、Windows、macOS、Linuxに対応しています。Cybereason EDRには、さまざまな挙動からAIでリアルタイムに不正な動作を検知するAI huntingエンジンが搭載されています。1秒に何百万のデータを集めて分析し、膨大なデータを元に、攻撃されているかされていないかを判別します。また、時系列を遡って、いつ入られたか、どういう動きがあったかなどもすぐ調べられます。それを元に、レポートしたりお客様にアドバイスしたりできます。

　サービスとして代表的なものには、ハンティングサービスがあります。われわれが実際にお客様のネットワークに入ってセキュリティ上の脅威を調査し、どこに問題があるか、どう直したらいいかといったことをアドバイスします。

日本法人担当者：EDR製品として、競合には米国のCrowdStrike社やCarbon Black社があります。その中でCybereasonでは、フルに日本語化したり、日本でもマネージドセキュリティサービスを提供したりと、日本に合わせた対応をしているのが好評をいただいています。日本では約50万エンドポイントで動いています。

　実は、ソフトバンクグループはもともと、日本で最初のCybereasonの導入先でした。そこからサイバーリーズン・ジャパン設立につながりました。

――Cybereasonの技術で、他社に比べた特徴は何でしょうか。

Naar氏：AI huntingエンジンは、大量のデータを元にしたナレッジをクラウドに蓄積し、エンドポイントでさまざまな挙動からリアルタイムに不正な動作を検知します。これはミリタリーグレードの検知性能で、他社と違うところです。

　そのためにわれわれは1日あたり、400TBのデータ、50～60兆のイベントを処理しています。この大規模なデータ量は他社の及ばないものです。さらに、そのイベントのうち、1つだけが大きな攻撃かもしれません。それをAI huntingエンジンがリアルタイムに検出し、どのイベントとどのイベントがつながっているかを見付けます。

――そうした大量のデータやAIが必要とされる背景について教えてください。

Naar氏：15年前の不正侵入というのは、政府がほかの政府を攻撃するというのはありましたが、多くは個人のハッカーの攻撃で、あまり高度なものはありませんでした。しかし10年ぐらい前には、政府が他国の企業をアタックするようになり、攻撃の技術レベルが上がりました。その技術が一般の攻撃者にももたらされ、攻撃者のレベルが非常に高くなっています。それにより、守る側も攻撃者より高いレベルが求められています。

　たとえば、1年前に企業に依頼されて調べたところ、ロシア政府に不正侵入されていたということがありました。企業では攻撃されていることも気づいていませんでした。しかも、その会社はアルコール業界の会社で、普通はそのような攻撃をされるような会社ではありませんでした。

　このときの攻撃は非常に手の込んだもので、止めようとすると違うところからまた入ってくるというものでした。われわれはデータとAIの力によって同じ攻撃者を検知し、2～3週間かかってようやく止めることができました。

　このように、新規のお客様を調査すると、すでに侵入されているということがしばしばあります。すべてレベルが高いわけではありませんが、10～20件に1件は高いレベルのものがあります。

　それに対処するには高いレベルの経験者がいる必要がありますが、多くの企業にはそこまでの技術者はいません。そこに、われわれの価値があります。

――アルコール業界の会社のように、非IT企業では気付くのも難しそうです。

Naar氏：いまはどの会社でもPCを使っています。そのため、すべての会社がランサムウェアにやられてデータやお金を盗まれる可能性があります。また、ほかの会社を攻撃する踏み台にされることもあります。自社が攻撃されそうな会社ではないと思っても、攻撃者には彼らなりに理由があるものです。

――日本でも同様の状況でしょうか。

Naar氏：はい。日本でも多くのお客様がいて、何社も攻撃されているのを見つけました。われわれは、日本にもSOC（Security Operation Center）を設け、ハンティングサービスなどを提供しています。

――日本では2020年のオリンピック／パラリンピックを機にサイバーアタックが増えると言われています。

Naar氏：あと2年ですが、すでに増加していますし、これからもっと増えます。近年の例を見ると、オリンピックやワールドカップなど、ニュースになった国は標的になります。いまのうちに問題がないかチェックするべきでしょう。