[イベントレポート]

2019年4月15日(月)柏木 恵子

リスト

何も信頼せず、すべて検査する「ゼロトラスト」

　今回のイベントでパロアルトネットワークスが訴えるのが、昨今のサイバー脅威に追いつかなくなった旧来のエンドポイント対策（EDR：Endpoint Detection & Response）からのシフトだ。同社 サイバーセキュリティ営業本部 セールスマネージャーの広瀬努氏（写真1）はセッションで、次世代エンドポイントセキュリティのアプローチを「XDR」と呼んで解説した。

写真1：パロアルトネットワークス サイバーセキュリティ営業本部 セールスマネージャーの広瀬努氏

　冒頭で広瀬氏は「Data is the new oil」という言葉を紹介。データは今や石油と同様の、価値の高い戦略資源になっているという意味だ。そんな今日の環境において、データを安全確実に保護するためのセキュリティ戦略・施策の巧拙が、自社のビジネスに直結することになるのは言うまでもない。

　広瀬氏は「ゼロトラスト」の考え方に基づいたセキュリティ計画の重要性について言及。従来、企業のシステムやネットワークは、ファイアウォールなどの境界セキュリティで防御されたトラステッドな内側のネットワークと、トラステッドではない外側のインターネットという構図で語られてきた。このため、「外からの侵入を防げば、中は大丈夫という思い込みがある」と広瀬氏。これがセキュリティにおける最大の脆弱性となる。

　ゼロトラストとは、トラステッドな内側という「範囲」を信頼するのではなく、あるいは権限があるユーザーの通信は安全と「人」を信頼するのでもなく、ゼロトラスト（何も信頼しない）ですべて確認する、データを中心としたセキュリティモデルだ。ポイントとして広瀬氏は以下の4つを挙げる。

●そのシステムが業務で何を達成するものか理解する（そこから逸脱していれば危険性がある）
●データを起点に考える
●だれが／何がアクセスするか、アクセス権で制御する
●インバウンドだけでなくすべてのトラフィックを検査する

　アクセス権で制御すると、その後の検査はやりやすくなる。ただし、ID/パスワードが盗まれたものかもしれないという前提で、すべてのパケットを検査する必要がある。そうすればなりすましでも内部犯行でも検知が可能になる、と広瀬氏は説く。

ツールを入れ過ぎて、むしろセキュリティレベルが下がる

　考え方を転換するといっても、既知の脅威はシグネチャマッチングのツールを正しく使えば回避可能で、それはやるべきことである。それだけでは対処できないサイバー攻撃は1％未満かもしれないが、標的型攻撃や内部犯行で被るダメージは非常に甚大だ。そこに対処するために、UEBA（User Entity Behavior Analytics）やEDRなどのテクノロジー／手法が登場した。

　広瀬氏は「多数のツールを入れれば見落としも減るだろうと期待して、さまざまなツールを導入しがちだが、そこで問題となるのが膨大な量のアラートだ」と指摘。ツールが増えることで一貫性のない精度の低いアラートが増え、誤検知ではないと特定するだけで時間がかかり、その結果重要なアラートを見逃すこともある。

　また、攻撃を特定し対処するには、ネットワークセキュリティからエンドポイントまで全体を見る必要があるが、「これは人手に頼らなければならず、独立したツールが多数入っていることで難しくなる」（広瀬氏）。同氏によれば、これはマネージドサービスなど監視を外部に委託したとしても解決しない。それぞれのツールでサイロ化しているためだ。

　上記の問題を解決すべく開発されたのが、パロアルトネットワークスの「Cortex XDR」（図1）である。仕組みとしては、クラウド上のデータレイク「CORTEC DATA LAKE」に、ネットワーク、エンドポイント、クラウドのイベントログ／アクティビティログをすべて集積する。

図1：Cortex XDRの概念図（出典：パロアルトネットワークス）
拡大画像表示

　ポイントはこの時点で、一貫性があり粒度も細かい状態にデータが整備されていることだ。また、このログを解析するのは、休むこともミスをすることもないAIである。さらに、調査に必要なデータの収集、攻撃を検出するための分析、再発防止のための適用までを自動で行うという（図2）。Cortex XDRは、2019年4月5日より日本でも提供が始まっている（関連記事：端末ログと通信ログを組み合わせたサイバー攻撃対策、パロアルトがデータ分析基盤「Cortex」を発表）。

図2：Cortex XDRが実現するデータドリブンセキュリティ（出典：パロアルトネットワークス）
拡大画像表示