より包括的な視点での対応を可能にする、クラウド セキュリティの最新ソリューションを紹介

2019年6月18日(火)
工藤 淳

クラウド化の拡がりを背景に、次々に登場する新たな脅威。サイバー セキュリティは、もはや個別の対策ではなく、より包括的な視点に立った対応が求められている。日本マイクロソフトでは、2019年4月末にメディアを対象にしたラウンドテーブル「マイクロソフト セキュリティ ブリーフィング」を開催。河野省二氏、花村 実氏2名の情報セキュリティ プロフェッショナルから、より包括的で堅牢なセキュリティを実現するための最新施策やテクノロジーを紹介した。

クラウド上にセキュリティまでを
包括する取り組みが必要

ラウンドテーブルでは最初に、マイクロソフトが現在のセキュリティの状況をどのように捉えているのかという視点と、そこから得られる課題について説明した。

河野氏はまず、サイバーセキュリティの市場がこれまで以上に細分化しており、その結果として混乱の度合いを深めていると指摘する。例えば、現在約150種類のセキュリティソリューションが市場に出ており、業界全体では600~700社のセキュリティベンダーが存在する。もちろんその製品ジャンルはさまざまだが、ユーザーにとってはどの製品が自社の要件に合っているか、選ぶだけで大変な状況だ。

日本マイクロソフト株式会社 技術統括室 Chief Security Officer CISSP 河野省二 氏

しかも、比較検討の資料は各ベンダーが出しているドキュメントくらいしかない。また最近ではセキュリティ機能がOSの一部に組み込まれたり、同じような機能のソリューションでも、時代とともにジャンル分けが変わったりして、エンドユーザーにとっては非常にわかりにくい状況が続いている。

さらに、セキュリティ人材不足も状況に拍車をかけている。人材が足りなければ、コンサルタントやパートナーにアウトソーシングするしかない。ユーザー企業にとっては、ますます自社のセキュリティの全体像が把握しにくくなってしまうわけだ。

「まさにそれをどのように一元化し、堅牢なセキュリティを実現するかが、皆さんの大切な問題です。すでにクラウドはエンタープライズITの最重要インフラとなっていますが、日本はまだまだクラウドへの抵抗が大きい。そうした中で、セキュリティまでをどうクラウドの中に包括していくかというのが重要な課題になっています」。

膨大なデータに裏打ちされた
マイクロソフトのソリューション

こうしたクラウド セキュリティの課題に対して、マイクロソフトでは従来から独自のアプローチを提供してきた。「インテリジェンス」と「プラットフォーム」と「パートナー」が三位一体となった取り組みであり、具体的な製品としてはMicrosoft 365とMicrosoft Azureの組み合わせがそれにあたるという。

こうしたソリューションの信頼性と実効性を支えているのが、マイクロソフト独自のインサイトと、その裏付けとなる数兆件レベルのセキュリティシグナルから得た情報だ。例えば、フォーチューン500企業の90%から収集した400億通にのぼる電子メールの分析や、12億本のデバイス スキャンの実績。また約7億5000万アカウント超のMicrosoft Azureユーザーを含む200以上のクラウドサービスからは、莫大な数のアクセスログが収集・分析されており、一方ではセキュリティベンダーや研究機関、法執行機関との脅威データの共有も常時行われている。

「過去のゼロデイ攻撃は、各社が個別に対応しようとして間に合わなかった結果です。しかし、現在は守る側がインテリジェンスを活用することで共通の知識を得られるようになっています。それぞれがギブ&テイクで自分たちの持つリスク情報やシグナルを共有し、それらのマイクロソフトがまとめたものを、お客様に「インテリジェント セキュリティ グラフ」という情報としてフィードバックしていくといったサイクルが、現在では継続的に稼動しています」。

膨大なデータ分析が支えるマイクロソフト独自のインサイト

これらの知見をユーザーが利用するようになり、かつてのゼロデイ攻撃のような被害は減少しつつある。マイクロソフトでは、引き続き情報分析・共有を大規模に行っていくために、各企業がログをクラウド上で提供してくれるよう呼びかけていると河野氏は明かす。

従来のSIEMの問題点を解決した
Azure Sentinel

今回のラウンドテーブルでは、マイクロソフトが新たにリリースした包括的かつインテリジェントなセキュリティ分析ソリューションである「Azure Sentinel」についても詳しい説明が行われた。

Azure SentinelはいわゆるSIEM=セキュリティフォーメーションとイベントを照合し、それがインシデントの要因かを判断するツールだ。マイクロソフトが長年にわたって蓄積してきたクラウド セキュリティの経験値から得たさまざまなインテリジェンスが盛り込まれ、人工知能(AI)を利用して脅威からの保護をスマートかつ迅速に行えるという。

河野氏は、従来のSIEMには2つの課題があったと指摘する。1つ目は、オンプレミスの場合、すべてのイベントを収集するにはハードディスク容量に制限があるため、収集するイベントの範囲を絞り込む結果、発見できる問題も限られてしまうこと。2つ目は、SIEMから上がってきた分析結果をチェックする人材が非常に不足していることだ。

「この2つの制約に縛られない点に加え、最初の環境設計が不要になり、必要な時にすぐ導入できることが、Azure Sentinelをクラウドネイティブのサービスにした理由です。ここにマイクロソフトが持っている膨大な分析データを利用して、非常に高い精度を実現できるようになっています」。

大量データを高速解析可能なクラウドネイティブのSIEM

長年にわたるマイクロソフトの
蓄積を盛り込んだAIを搭載

Azure Sentinelの機能について、さらに詳しく見ていこう。最も大きな特長の一つが、クラウドの活用により解析速度や規模の制限を大幅に軽減していることだ。ログ解析の際にローカルにダウンロードすると、そこがボトルネックとなって速度が落ちてしまう。ログ収集から分析までをすべてクラウド上で完結することにより、スピードも扱えるログの量も大幅にアップしている。

ログをはじめとした、さまざまなセキュリティデータを収集する処理も非常に簡単だ。マイクロソフト サービスからならば、ログ収集はウィザードを使って数クリックで設定が完了できる。その他の製品でも、マイクロソフトのパートナー製品からは、それぞれのコネクタが提供されている。また、それ以外でも、業界の標準的なログフォーマットをサポートしているため、収集はいたって容易だ。

「こうした一連の設定処理や収集したデータの状況などは、洗練されたUIを持つダッシュボードから一目で確認できるので、セキュリティ技術にあまり詳しくないビジネスユーザーでもわかりやすく、アラートなどが上がってきた場合も、すぐに確認できます」。

Azure Sentinelに搭載されたAIには、マイクロソフトが数十年間にわたって蓄積してきた経験やラーニングに基づく機械学習モデルを搭載。また1日あたり6.5兆件以上の多種多様なシグナルを分析した、他に例を見ない規模の脅威インテリジェンスを提供している。

Azure Sentinel自体の機能だけでなく、ユーザーサポートやコミュニティも充実していると河野氏は付け加える。

「今回、Microsoft Threat Expertsと呼ばれるコンサルティングサービスも提供開始します。これはセキュリティ運用センター(SOC)に、専門家レベルの監視と分析を提供するマネージド ハンティング サービスです。標的型攻撃などの防御について、最新データに基づくご提案ができるようになっています」。

独自の機械学習モデルで6.5兆種類を超えるシグナルを分析

Macにも対応したMicrosoft Defender ATP

さらにもう一つ、新たに発表されたのが「Microsoft Defender ATP(Advanced Threat Protection)」の情報だ。これは、従来Windows Defender ATP(Advanced Threat Protection)として提供されてきたもので、セキュリティ インシデントの自動対応機能や Microsoft 365との連携などを可能にするEDR(Endpoint Detection and Response)製品だ。

「これが今回Mac対応版も提供されるようになり、クロスプラットフォーム化に合わせて製品の名称もリニューアルされました。また、この製品が含まれていたWindows Defenderのファミリーも同時にMicrosoft Defenderに改められ、ゼロデイ攻撃への対応や、現在どのマシンがどのような脅威に晒される可能性があるかを探すエージェントなどの新製品も追加されました」。

現在のところ、正式リリース日程は2019年9月頃を予定しているという。

Mac版対応だけでなく最新ツールも加わったMicrosoft Defender

最新版レポートに基づいて
日本のセキュリティ状況を解説

ラウンドテーブルの後半では、花村 実氏から「マイクロソフト セキュリティ ブリーフィング」と題して説明が行われた。これは「マイクロソフト セキュリティ インテリジェンス レポート(SIR)」に基づくもので、ふだんマイクロソフト コーポレーションではアジア地域全体を担当している花村氏が、特に日本の状況にフォーカスしたブリーフィングとなった。

マイクロソフト コーポレーション Cybersecurity Solutions Group (CSG) Chief Security Adviser, Asia CISSP, BA, CFE(公認不正検査士) 花村 実 氏

SIRは毎年約2回発表されているレポートで、最新版は2018年1月から12月までの集計結果を基にした第24版だ。このレポートによれば、日本は他の地域と代表的なサイバー攻撃の件数について比較した場合、いずれも低い数値を保っているという。

「この理由としては、すでにセキュリティ対策を講じている企業が多いこと。また、言葉の壁もあり、海外の攻撃者が入り込みにくいことが挙げられます。しかしマルウェアやフィッシングはますます手口が巧妙化しており、決してこの現状に安心してはいけないと考えています」。

さらに花村氏は、最近特に注目したいリスクとして、仮想通貨のマイニング(ビットコイン マイニング)があるという。これはビットコインの暴落で市場が縮小し、かつてマルウェアを仕掛けるのに成功した攻撃者が、せっかく潜り込ませたマルウェアを遊ばせておくのももったいないと、ビットコイン マイニングを行っているケースだ。

「被害例として、あるホテルにインフラをハッキングして使えなくするから、いやならビットコインで“身代金”を払えという要求が送られてきました。これをマイクロソフトのインシデント レスポンスが調査した結果、実は1年も前に内部のシステムに送り込んだマルウェアがビットコインマイニングを行っていたことが判明したのです」。

それがある時、そのホテルで大規模イベントが開催される情報を聞いて、脅迫を思い立ったというのだ。このことからも、不正に行われているビットコインマイニングを見逃してはいけないと花村氏は忠告する。

日本は他のアジア地域に比べて攻撃率は少ないが油断は禁物

セキュリティの鉄則は
「やるべきことをきちんとやる」

花村氏は多様化するサイバーセキュリティのベストプラクティスとして“サイバーHygiene(サイバー衛生)”をキーワードに挙げ、「やるべきことを、きちんとやり遂げることが大事」と強調する。

「例えば、ゲートウェイのファイアウォールも必要だし、アンチウイルスのアップデートも忘れずに行う。一方でクラウドが拡がっている中、自分の行動軌跡を消していくようなマルウェアも登場しているので、そうした新型の危機にも目を配らなくてはなりません」。

また、河野氏も「マイクロソフトのメッセージとしては、正しく最新のITを利用していれば、万が一の際にもセキュリティリスクを最小限に抑えることができます。毎年リリースされるSIRにもよく目を通して、自社のサイバーセキュリティに何が必要かをよく考え、実践していただきたい。その際には私たちにご相談いただければ、実務に即したリアルなセキュリティ ソリューションをご提供できると考えています」と語り、発表を締めくくった。

「やるべきことをやる」のがサイバーHygiene実現の最短距離

フリーランス・ライター兼エディター。IT専門出版社を経て独立後は、主にソフトウェア関連のITビジネス記事を手がける。もともとバリバリの文系出身だったが、ビジネス記事のインタビュー取材を重ねるうち、気がついたらIT専門のような顔をして鋭意お仕事中。

連載バックナンバー

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています