適応型セキュリティアーキテクチャ:真のサイバーセキュリティへの鍵

2017年6月22日

サイバーセキュリティの企業であるKaspersky Labは、20年にわたる経験から、企業のITインフラストラクチャにおいて真のサイバーセキュリティを実現するには、多層型ソリューションが必須であると考えています。「多層」とは、保護技術を何層にも実装することや、ITネットワークをさまざまなレベルで保護することだけを指すのではありません。絶え間なく変化する脅威の状況に応じて企業セキュリティを迅速に適応させる能力を企業は備えるべきである、という意味合いもあります。

こうしたアプローチが最も合理的である、とKaspersky Labが考える理由をご説明しましょう。私たちは今、終わりのないせめぎ合いの中にあります。サイバー犯罪活動に使われるツールや手口に勝る効果を上げることができるように、当社は保護テクノロジーを改良し続けています。ここで大切なのは、何かあったときに対応する、というリアクティブな手段に甘んじるわけにはいかないことです。さまざまな攻撃を効果的にかわすには、新たな脅威が登場する前に、事後ではなく事前に、保護の対策を最適化する柔軟性が求められています。

当社はまた、1つのテクノロジーだけであらゆる脅威から確実に守ることは不可能であると考えています。新しい手法を導入した直後は画期的な結果を示したとしても、それはサイバー犯罪者が反撃に出るまでの間にすぎません。

効果的な保護フレームワークは循環型

Kaspersky Labは、Gartnerの説くセキュリティアーキテクチャが最も実現可能であると考えます。このアーキテクチャは活動サイクルから成り、4つの重要分野「防御(Prevent)」「検知(Detect)」「対応(Respond)」「予測(Predict)」で構成されます。基本的に、侵入検知システムと防御システムは脅威分析と連携して機能することが前提です。理想的には、この戦略はデジタル世界の新たな課題に絶えず適応し、対応するサイバーセキュリティシステムの構築を後押しします。

この適応型セキュリティアーキテクチャというモデルをどのように展開可能であるか、Kaspersky Labの製品およびサービスに当てはめて見ていきたいと思います。

防御

「防御」のセグメントは、簡潔に言うと、厳格な論拠をもって安全なオブジェクトか悪意あるオブジェクトかを見極め、悪意あるオブジェクトをブロックする、諸テクノロジーのセグメントです。このセグメントには、ファイアウォール、シグネチャベースのエンジン、機械学習を利用したプロアクティブなテクノロジーなどが含まれます。当社のエンドポイント向け保護製品(Kaspersky Endpoint SecurityKaspersky Security for Virtualizationなど)には、基本的にこのすべてが含まれています。

これら製品の管理を行うのは、セキュリティエキスパートである必要はありません。データベースやローカルネットワークなども同時に見るゼネラリスト的なIT管理者が、こうした製品の管理も担当するのがよく見られる形です。このようなIT管理者が必要とするのは、堅牢で手間のかからないセキュリティ製品です。

これらの製品は、よく知られた脅威(70%)だけでなく、未知(29%)のマルウェアも含め、合わせて脅威の99%をブロックします。では、残りの1%を占める高度な脅威についてはどうでしょうか。最も巧妙かつ危険な脅威であり、何よりもこの1%が、攻撃対象となった企業に深刻な被害をもたらします。これに対抗するのが、後続のセグメントです。

検知

オブジェクトやイベントの中には、悪意あると分類されるものもあれば、安全と分類されるものもあります。しかし、この分類だけで十分とは限りません。グレーゾーンに分類されるオブジェクトやイベントもあります。たとえばAPTなどの高度な脅威は、セキュリティシステムによる検知を逃れるためなら、どんな手でも使ってきます。

グレーゾーンをコントロールするには、「検知」が必要です。検知のセグメントに属するセキュリティ手段は、脅威自体をブロックするのではなく、怪しい活動を検知して報告します。こうしたセキュリティ手段は、ITゼネラリストではなく、スキルのある情報セキュリティのプロが管理すべき対象です。

「検知」テクノロジーには、ふるまい分析システムや動的コードアナライザーなどが含まれます。当社製品を例に引くと、先ごろ発表されたKaspersky Anti-Targeted Attack Platformがあります。このソリューションの機能の1つが、ネットワークイベントのコントロールを担当する標的型攻撃アナライザーです。標的型攻撃アナライザーは、当社が「HuMachineインテリジェンス」と呼ぶアプローチをベースとしています。HuMachineインテリジェンスとは、ビッグデータを活用した脅威インテリジェンス、機械学習、そして人間の専門知識をシームレスに融合したものです。このアプローチの強みは、「Human」(人間)と「Machine」(機械)を掛け合わせた名称が示すように、人間と機械のインテリジェンスが互いに補完し合うことで別々に機能するよりも高い効果を生み、また、脅威をめぐる状況に関して世界中から収集した情報を生かすことができる点にあります。標的型攻撃アナライザーはシステムの動作パターンを分析し、通常の状態と比較することで、不審な動きを検知します。通常の状態と異なる動きがあった場合は、担当者にアラートが通知されます。通常状態モデルの作成は、Kaspersky Labのサーバーと顧客企業内の双方で動作する機械学習プロセスを利用して行います。そのため、アナライザーは特定の環境の中で何が通常状態で何がそうでないのか、判別することが可能です。

具体例として、貿易分野の中規模企業を考えてみましょう。この企業ではベトナムとの取引がなく、ベトナム人の従業員はいません。ある日の深夜、企業ネットワーク内のコンピューターが「.vn」のWebリソースに接続しました。標的型攻撃アナライザーは、これまでこの組織からベトナムのWebサイトにアクセスした人がいないことを把握しています。また、Kaspersky Security Networkのデータによると、誰もこのサーバーに接続したことがありません。そのため、「.vn」への接続は、さらに詳しい分析の対象になります。もちろん、ただの偶然で何の問題もない可能性もありますが、通常の状態からは逸脱しており、このインシデントをダブルチェックする意味はあります。

対応

「対応」は、このフレームワークの次なる論理ステップです。当社製品およびサービスの例でいくと、検知された脅威の、テクノロジーとサービスを利用した無力化です。ここで言うサービスは、攻撃を調査してレポートを準備するアナリストの業務を意味します。

Kaspersky Labでは、インシデント調査やマルウェア分析など、広範なサービスを提供しています。このほかにも、証拠収集、セキュリティ侵害を受けたエンドポイントの検索、リモート構成の採用などの自動化によってプロセスを最適化するツールセットの開発に取り組んでいます。

その一方で、Kaspersky Anti Targeted Attack PlatformへのEndpoint Detection and Response(エンドポイント検知/対応)機能の導入が進められています。この導入により、コンテキスト情報が追加されるだけでなく、大規模な企業ネットワーク規模に対応可能となります。また、検知に続くインシデント調査に必要な、幅広いフォレンジック用データを準備可能となります。

収集されたデータは現在のサイバー脅威の状況を理解する上でも役立ち、さらに効果的な保護ソリューションを作り上げる力となります。これこそが、次なるレベルに他なりません。

予測

自動収集(悪意あるリンクやファイル上のデータなど)やエキスパートな分析者(APT調査など)を通じて得た各種データフィードは、将来の攻撃や攻撃経路の予測に不可欠な資産であり、セキュリティの体制を強化するものでもあります。これらのデータは常にKaspersky Lab社内の分析システムに送信され、徹底的に分析されます。分析結果は、機械学習プロセスの調整をはじめ、セキュリティメカニズムの改善に使用されます。

テクノロジー向上のため、侵入テストやアプリケーションのセキュリティ分析の際に入手したデータも活用しています(上記「防御」セクションを参照)。利用可能なあらゆるデータを処理することが、より多くの脅威を自動的にブロックすることにつながり、ひいてはこの記事冒頭の「防御」セグメントへと回帰していきます。

これが、適応型セキュリティアーキテクチャの永遠なるサイクルです。これが、理想的には、サイバー犯罪者の常に先を行く力となり、サイバー脅威をとりまく状況に応じたセキュリティシステムの構築および改善につながり、莫大な企業損失を未然に防ぐこととなるのです。