エフセキュア、2020年の戦略とセキュリティトレンド、事例について発表

　エフセキュアは、2月18日に記者発表会を行い、2020年の戦略とセキュリティトレンド、パブリッククラウド環境のコンサルティング事例を発表した。

昨年の注目トピックとセキュリティトレンド

　エフセキュアの2019年のビジネスアップデートについて、アジアパシフィック地域担当バイスプレジデント キース・マーティン氏から発表された。

　2019年のエフセキュアの主なニュースを振り返り、ドイツの「AV-TEST」において「Best Protection Award」受賞、BIG-IPやKeyWeスマートロックなどの脆弱性を発見、「Project Blackfin」始動、コンサルティング部門を統合し「F-Secure Consulting」を発足、などを挙げた。コンサルティングには引き続き力を入れており、マーティン氏は「日本でのコンサルティングビジネスは2018年と比べて2倍に増えている」と説明した。

　続いて今後セキュリティリスクが高まるキーワードとして、「オリンピック」や「サプライチェーン攻撃」「IoT」「DX」などを挙げた。特にIoTやスマートデバイスについては、「インターネットにつながる安価な機器は、安いゆえにセキュリティがないがしろになっている場合がある」と危険性を指摘。こういった時流の中で、データ保護の観点から、GDPRやCCPAといった規則も制定されている。

　また、「トリクルダウン効果」についても紹介。これは、国家同士の攻撃のために豊富な資源を使って作った高度なツールが、犯罪組織グループや個人のハッカーにまでいきわたってしまうことで、拡大している状況だ。

　マーティン氏は、エフセキュアのソリューションポートフォリオは、以上の多様なセキュリティリスクを踏まえて「予測」「防御」「検知」「対応」をカバーしているとした。

　続いて、チーフ・テクノロジー・オフィサーのユルキ・トゥロカス氏が、昨今のセキュリティトレンドとセキュリティリスクの原因について発表した。

　発見されるマルウェアの数が年々増加している状況を踏まえると、サイバーセキュリティの概況は悪化しているように見える。特に昨年は、世界最大のアルミニウムのメーカー、ノルスク・ハイドロが攻撃され、業務を停止せざるを得ない状況になり大きな損失を生んだ。また、大規模なDDoS攻撃によってNetflixなどがダウンしてしまった事例もあった。

　このように攻撃側が成功し続ける理由として、トゥロカス氏が挙げたのは、まず「人間は好奇心がある」ということ。ハッカーは人間の好奇心につけこんで攻撃を行う。また、開発者が誤ってAPIや機密情報をGitHubに載せてしまうなどの誤操作によるセキュリティの穴も指摘した。

　さらに、もう1つの理由として「レガシーソフトウェア」を挙げた。調査によると、世界で使われているPCの20％がWindows7であることがわかっている。

　また、これまでにない潤沢なリソースを使用した標的攻撃も増えている。国家ぐるみで、資源を持った個人を狙ってくるケースだ。さらにサプライチェーン攻撃についても増加の傾向にあると、危険性を指摘した。

　こうした多様なセキュリティリスクが高まる中、われわれは今後どう攻撃者に立ち向かえばよいのだろうか。

　トゥロカス氏は、継続的な「レピュテーション」が重要で「防衛の第一線だ」とし、エフセキュアのレピュテーション・分析プラットフォームにおいては、受信データのフィルタリングや分類、分析を行うほか、必要に応じてサンドボックスを使用、AI／機械学習モジュールに学習させ、世界中の数億の顧客にレピュテーションサービスを提供できるよう拡張していると説明した。

　さらに、AIリサーチプロジェクト「Project Blackfin」の取り組みも始めている。これは個々のエンドポイントのモデル、組織ごとのモデル、グローバルモデルを組み合わせて、より誤検知が少なく精度の高い異常検出モデルを提供するものだ。すでにエフセキュアの製品（RDR）に実装されていて、適応型の検出や効果的なオペレーション、対応の自動化などのメリットが生まれていると説明した。

パブリッククラウド、CI/CDに対応したセキュリティ対策

　最後に、クラウド環境に対するセキュリティ診断について、法人営業本部 シニアセールスマネージャー 河野真一郎氏から事例を交えて発表された。多くの企業がクラウドを採用する中で、セキュリティに関する懸念も出てきている。

　エフセキュアは自社基幹システムでもAWS環境を利用。3年前から以下のアーキテクチャを構築し、クラウドに関する知見を深めてきた。

　「パブリッククラウド環境のWebアプリケーションのセキュリティ診断」の例として、マッチングアプリ「Pairs」を運営するエウレカの事例を取り上げた。

　エウレカでは1000万ユーザ以上の個人情報をクラウド上に保管。セキュリティにはもともとかなり注意を払っているものの、「パブリッククラウド特有の脅威を把握したい」というニーズがあった。「クラウドのユーザ権限や設定情報、それらを組み合わせてWebアプリケーションへの攻撃が起きないかどうか、診断したいとの要望だった」と話す。

　エウレカは「テストシナリオが網羅性にとんでいた」「AWSを利用したWebアプリケーションアーキテクチャおよびパブリッククラウド環境に精通していた」点を評価しエフセキュアのコンサルティングを採用したという。

　また、エフセキュアでは脆弱性診断の自動化ツール「F-Secure RADAR」を提供している。OSやミドルウェアの脆弱性、セキュリティホールにきちんとパッチが当たっているかどうかといった診断は、このツールによってCI/CDのプロセスに組み込むことができ、自動で診断できる。どのようにパイプラインに組み込むかについては、エフセキュアのパートナーが実際に自動実行した例を公開している。