セキュリティソリューションのプルーフポイント、電子メールにフォーカスした新サービスを提供
NetscapeのCTOだったエリック・ハーン氏が2002年に立ち上げたProofpoint(プルーフポイント)。その日本法人が、メッセージングセキュリティにおける新しいサービスを発表した。これは「People-Centric Security脅威対策ソリューション」と称されるサービスで、同社が2018年3月に買収したWombat Security Technologies社の「Phishing Simulation and Security Awareness」と従来から持つセキュリティソリューションを組み合わせて、日本市場に向けて提供するものだという。
今回はメディア向けに行われた説明会と、その後のインタビューの内容をまとめて紹介する。
メディア向け発表会では、まず日本法人の代表であるローン・フェゼック氏(日本プルーフポイント株式会社代表執行役社長)がProofpointの会社概要を説明し、続いてサイバーセキュリティ戦略担当のディレクターであるアデニケ・コスグローブ氏からサービスの全容に関する解説が行われた。
冒頭の挨拶に立ったフェゼック氏は、流暢な日本語でプルーフポイントの歴史、そして顧客として全世界で6,000社、日本市場では約500社が同社のソリューションを使っているなどを解説した。また同社の特徴として、これまでのテクノロジーに依存した解決策を提供するのではなく、電子メールという今やビジネスには不可欠なツールを使う人間にフォーカスして、ソリューションを組み立てていることを紹介した。現在は1日に約50億通の電子メールを処理することで、様々なマルウェア、危険なURLなどを収集しているという。
フェゼック氏のスライドで興味深かったのは、「次世代型メールセキュリティ」と題されたもので、Email Protection、Targeted Attack Protection、Threat Response Auto Pullという3つの層で構成されるソリューションの部分だろう。特に最後のThreat Response Auto Pullは、電子メールとして配信された危険なコンテンツを自動的に隔離、検疫するというソリューションで、発見された危険なメッセージはユーザーがそれを読む前に受信ボックスから排除できるという。
詳細は以下のドキュメントを参照していただきたいが、オンプレミスのメールサーバーだけではなくSaaSとして提供されるGmailでも、能動的なメールの検疫が行えるのは魅力だろう。
参考:プルーフポイントが公開しているテクニカルドキュメント(PDF)
続いて登壇したアデニケ・コスグローブ氏は、「サイバー攻撃の対象がシステムの脆弱性からシステムを使うユーザー、つまり人間のほうにシフトしてきている」と説明し、ここがプルーフポイントの差別化の要点であると強調した。
特にガートナーとVerizonのリサーチを合わせて紹介し、93%の情報漏洩は人をターゲットにしたもので、そのうちの96%が電子メールをきっかけにして発生していること、にもかかわらずIT部門の投資がメールゲートウェイには7%しか割り当てられていないことなどを説明した。この際、コスグローブ氏が例として挙げたのは、2017年12月に発覚した日本航空によるビジネスメール詐欺による被害だ。これは航空機のリース代の振込先を変更する詐欺メールを信じて、振込を実施してしまい、結果として325万5千ドルを奪われたという事件だ。コスグローブ氏は、日本で実際に被害が起きていることを示して、注意を喚起したわけだ。
ビジネスメール詐欺に関しては以下のIPAの資料を参考にして欲しい。
また今回の発表のコアとなるWombatのセキュリティ製品に関しては、すでに日本語化が行われており、ゲーム感覚でトレーニングを受けることができるという。以下のスクリーンショットを見ても、確かに日本語化によってあまりITに詳しくない従業員でも使えるようになっていることがわかる。
インタビューでは、もう少し詳しくプルーフポイントのビジネスやこれからのチャレンジなどについてフェゼック氏とコスグローブ氏に話を訊いた。
まず新サービスの発表ということですので、ビジネスの目標などについて教えて下さい。
フェゼック:我々は売上目標などについては公表をしない方針なのですが、このサービスが多くの日本のエンタープライズの皆さんに受け入れられるだろうと思っている、とだけお伝えしておきましょう。すでに存在する国内500社の顧客にも、使っていただけると思っています。特に中規模から大規模の組織を持っている企業、世界各国に支社や支店を持っている企業には、我々のソリューションが効果的だと思います。
今回は電子メールによる詐欺をいかに防ぐか? というソリューションですが、ビジネスの中では電子メールだけではなくTwitterやFacebookのようなSNSによるビジネスのコミュニケーションも増えています。それに対する対策は?
コスグローブ:ビジネスコミュニケーションのツールは多様化しています。ですから電子メールだけではなくSNSなどとも、APIを連携することで防御をすることができるように計画を立てています。最近は、防御よりもインシデントが起こってからの対応に注目が集まっていますが、実のところその方法は現実的ではないと思います。
実際、ある企業のセキュリティチームは1時間に数件という頻度でセキュリティ対応を余儀なくされていますが、防御を止めて全てがリアクティブな対応に置き換えるとすると、今のセキュリティチームのスタッフが対応できるとは思えません。あくまでも脅威を社内に入れないことを最優先することで、インシデント対応も行えるのです。
ビジネスメールを使った詐欺についてですが、それを効果的に排除するためには日本語に関する深い理解が必要だと思います。それはどうやって行っているのですか?
コスグローブ:まず日本のエアラインの事例にも当てはまるのですが、詐欺に使われた電子メールにはURLを含まず、添付ファイルもないテキストだけのものだったのです。その際に、なぜそれを信用してしまったのかといえば、差出人のドメインが正しいものだったからなのです ※。つまり、これはもうテクニカルな問題というよりも人間に依存した問題だったわけです。しかし、確実に正しい差出人からの電子メールだけを選択するために、行えることがあります。それは発信者の身元を検証するためのDMARC(Domain-based Message Authentication, Reporting and Conformance)を利用することです。DMARCは、詐称メールの排除を目的として公開された業界標準仕様です。これはオープンソースになっているので、誰でも実装することができます。DMARCによって、確実に同じ差出人を確認することが可能になります。
※:日本航空の詐欺事件の場合、送信されたメールの差出人表示名は正しい取引先名が表示されていたが、実際のアドレスは別のドメインからのものだった。またアドレスも1文字しか違っておらず、紛らわしいアドレスを使っていたことがわかっている。
また電子メールのゲートウェイには、機械学習を活用したエンジンを搭載しています。この機能によって例えばSubjectに「緊急」とか「支払い」などの単語が含まれている、しかも普段はそういうメールをあまりやり取りしていないユーザーが送信しているなどの異常値を検出して、フィルターすることができます。
フェゼック:電子メールゲートウェイの機械学習エンジン以外にも、我々のレスポンスチームは24時間稼働していますので、常に最新の脅威については対応を行うことが可能です。またここには日本語を理解するエンジニアもいますので、そこで未知の脅威であっても素早く対応することができるのです。
コスグローブ:電子メールを検疫するということで、社内のメールが社外の人に読まれてしまうのではないか? と心配する企業の担当者もいらっしゃいます。事実ヨーロッパの大手金融機関では、非常に制約が厳しいので、それに対応することが必要です。このような顧客の場合は、メールの文面はシステム的には読み込まず、URLや添付ファイルだけをサンドボックスで処理することで、リスクを下げる仕組みになっています。
最後に日本市場での課題は?
フェゼック:私が考える課題の1つ目は、公的な罰則の仕組みが弱いことですね。ヨーロッパや北米に比べて、日本ではまだ法的な仕組みが十分整っていないように感じています。そこで、まずは情報プライバシーに関する法律がもっと整備されることを期待しています。
2つ目は企業のIT部門がセキュリティを兼任していることが多いという事実ですね。これは表向きにはITを使ってセキュリティを高めることをしているはずなのに、実際はPCの購買手続きに忙殺される、というようなことが起こっています。すでに「日本だけは特殊」ですとか「日本だけは大丈夫」などという状況ではなく、脅威はグローバルに拡大しているのは明らかなので、IT部門の意識を変えることが必要だと思います。
3つ目はやはり、まだセキュリティと言った時に議論がツールに集中してしまうことを変えることですね。これはプルーフポイントが強調している点でもありますが、問題は人なのであってツールは本質ではないということをもっと啓蒙する必要があると考えています。一方で、顧客と話をすることで我々自身も啓蒙されているのです。顧客が望むものはなにか? 今何が起こっているのか? を常に対話の中から見つけ出そうとしています。
電子メール詐称にフォーカスしたソリューションを提供するプルーフポイントだが、いわゆるツールで解決する方法論ではなく、電子メールを使うユーザーに着目してソリューションを開発する発想はユニークだ。しかし攻撃を行う側も日夜進化し続けており、これに対抗し続けるのは容易ではないだろう。今回の対話の中では何度も日本航空の詐欺事件が引き合いに出されたが、あの事件が起きてしまった背景を笑い事で済まさずに、真剣に考える必要があると感じた取材であった。
連載バックナンバー
Think ITメルマガ会員登録受付中
全文検索エンジンによるおすすめ記事
- チェック・ポイント、脅威の実行をエミュレートして攻撃を防御するセキュリティ・ソリューションを発表
- メールコンプライアンスの必要性
- メールセキュリティ問題の全体像
- より包括的な視点での対応を可能にする、クラウド セキュリティの最新ソリューションを紹介
- エフセキュア、Linuxサーバ向けのゲートウェイ製品新バージョンをリリース
- Red Hat Summit 2019で訊いたAPI管理と開発ツールがRed Hatにとって重要な理由
- チェック・ポイント、文書ファイル中のマルウェアを瞬時に除去する「Check Point Threat Extraction」を発表
- サービスメッシュ時代のAPIマネージメントのあり方を3Scaleに訊いた
- エフセキュア、「エフセキュア アンチウイルスLinuxゲートウェイ 5.30」を提供開始
- キヤノンITS、ハードディスク暗号化ソフト「DESlock Plus Pro」を販売開始