ビジネスの成長にいまや欠かせない要素となったセキュリティ。単なる「コスト」と捉えるのではなく、安全な環境は成長のための「投資」だと考えることが重要だ。そのような状況のなか、ダイワボウ情報システム(DIS)は2024年12月17日「DIS TOTAL SECURITY in TOKYO 2024」を開催。セキュリティの有識者や製品担当者が一堂に会し、8つのセッションで、さまざまな角度からセキュリティの現在位置と将来像を展望した。本連載ではその様子と内容を、全2回にわたってお伝えしていきたい。
【第1回】
- オープニングセッション
「進化するサイバー攻撃への対応法 サイバー脅威と脆弱性管理の実践とは」 - パネルディスカッション1
「最先端セキュリティへの挑戦: Cisco Systems & Palo Alto Networksソリューションから未来を探る ~ 複雑化する脅威環境での最適な対策とは ~」 - パネルディスカッション2
「違いのわかるSASEセッション ウチのSASEの強みはココだ!」 - パネルディスカッション3
「クラウドセキュリティをトータルに実現 脅威の変化に立ち向かえ!」
【第2回】
- ベンダーセッション1
「増え続けるセキュリティソリューションと減らないサイバー侵害 ~ 今、お客様に本当に必要な対策とは?」 - ベンダーセッション2
「ランサムウェア・ラテラルムーブメント対策に欠かせない!マイクロセグメンテーションの最適解とは」 - ベンダーセッション3
「BlueCat DDIソリューションでネットワークインフラを見直しませんか?」 - ベンダーセッション4
「Verkadaの物理セキュリティ統合ソリューションのご紹介」
オープニングセッション
「産業革命級の変化」のなかでより重要な役割を果たすセキュリティ
開会にあたり挨拶に立ったDIS 代表取締役社長 松本裕之氏は、時代が大きく変わるなかで、新たな変革を起こすことが重要だと指摘した。
「人口減少や国際競争力の低下といった厳しい状況のなかで、当社は1万9000社のパートナー様に支えられ、パートナー様とともに成長してきました。2020年以降はテレワークの普及、クラウド市場の拡大、さらに2024年には生成AIの認知度が高まるなどデジタル化の流れが本格化しています。早期にクラウドを積極的に運用し、生成AIを何らかのかたちで活用するステージに移行する必要があります。そのためにはパートナーの皆様の力が必要です。チャネルビジネスの力で産業革命級の変化を起こしていきましょう」(松本氏)
続いて、DIS 取締役 技術戦略本部 本部長 谷水茂樹氏が登壇。「産業革命級の変化」のなかでセキュリティが重要な役割を果たすことを訴えた。
「ガートナーによる最新の調査結果では、2025年に投資の増加が見込まれるテクノロジーは、生成AI、セキュリティ、クラウドプラットフォームがトップ3を占めます。テクノロジーの進化とIT基盤の変化のなかで、セキュリティはこれまで以上に重要な役割を果たします」(谷水氏)
ビルディングブロック方式でトータルセキュリティサービスを提供するDIS
クラウドや生成AIは、セキュリティのあり方にも大きな影響を与えている。谷水氏はこう解説する。
「IPAの情報セキュリティ10大脅威では、ランサムウェアによる被害など過去に脅威となったものが引き続きランクしています。その脅威は変化がないのではなく、実際には、ますます複雑化、巧妙化しています。例えば、フィッシングメールは生成AIを用いることで"完璧に近いもの"を簡単に作ることができるようになっています。また、攻撃手法も大きく進化し、攻撃面も格段に広がってきています」(谷水氏)
DISでは、トータルセキュリティサービスとして、対策が必要な面をビルディングブロック化して取り組んでいるという。インターネット上に公開されている自社資産と脆弱性を管理する「ASM(アタックサーフェス管理)」、不要なアクセスを遮断し、意図しないセキュリティ侵害を防止する「ZTNA(ゼロトラスネットワーク)」、クラウドセキュリティの設定ミスや管理不備に対応する「CSPM(クラウドセキュリティ態勢管理)」、クラウド経由でネットワークとデータを保護するセキュリティサービス「SSE(セキュアサービスエッジ)」などだ。
「攻撃者がAIを積極的に活用するなか、セキュリティの各ベンダーサービスにおいても積極的なAI活用が進んでいます。さまざまな面でのAI活用により省力化、対策の高度化が期待されています。また、AIのためのセキュリティ『Security for AI』も大きなテーマです。著作権侵害や事実の誤り、ハルシネーション、偏った情報、古い情報など、生成AIにはさまざまなリスクがあります。AIのためのセキュリティが今後必要になってきます」(谷水氏)
最後に谷水氏は、ドライバーのいない自動運転を実現したWaymoのサービスを紹介しながら、こう訴えた。
「最新のテクノロジーがわれわれの生活のなかに急速に浸透してきています。このテクノロジーを安心して安全に活用するためには、セキュリティが非常に重要な役割を果たしていきます」(谷水氏)
宇宙、外交にまで広がるセキュリティ、「コストから投資へ」の変化も
続いて「進化するサイバー攻撃への対応法 サイバー脅威と脆弱性管理の実践とは」と題したパネルディスカッションが行われた。パネリストは、海上自衛隊や航空自衛隊でサイバーセキュリティのトップガンとして活躍し、現在、サイバーディフェンス研究所等に所属する名和利男氏と、DISの谷水氏が登壇。モデレーターはITジャーナリストの三上洋氏が務めた。
三上氏はまず「ランサムウェア被害が報道されるなど厳しい状況にあり、セキュリティに対する関心も高まっています。私自身、テレビ局などの一般マスメディアから、ランサムウェアや二重脅迫などのセキュリティ用語を使った取材を受けるようになり驚いています」と、セキュリティが日常化していることを明かした。
名和氏は、最近のサイバー攻撃の動向について自身の活動内容に触れながらこう紹介した。
「見えない攻撃が多くなり、断片的な足跡を追跡しながら、過去の行動パターンと突き合わせてインテリジェンスのようなかたちで、それを見に行く、分析するという仕事が非常に多くなっています。私の活動領域も、原子力発電所の核物質防護や宇宙システムのサイバーセキュリティなど、宇宙、政治、外交などに広がっています」(名和氏)
一方、谷水氏は、セキュリティに対する意識も変わりつつあると指摘した。
「日本の環境ではセキュリティはまだまだコストと見られるケースが非常に多いです。UTMやエンドポイントなどは引き続き販売が伸びています。一方で新しいソリューションの展開については、まだこれからというところですが、セキュリティをコストではなく投資と考える企業は徐々に増えてきています」(谷水氏)
見えない攻撃が増加、名和氏が経験した8つのサイバー攻撃とは
名和氏は、ランサムウェア攻撃や生成AIのリスク、サプライチェーン攻撃など最新の脅威動向を振り返りながら、具体的な攻撃事例として、MSP(マネージドサービスプロバイダー)侵害、サードパーティーへのサイバー攻撃、スマホへのサイバー攻撃、自宅へのサイバー攻撃、アカウントハイジャック(アカウント乗っ取り)、委託先へのサイバー攻撃(踏み台)、開発元へのサイバー攻撃(更新プログラムの差し替え)、中間者攻撃(ARPスプーフィング)の8つを取り上げた。
「これらは私が実際に対応した事例です。新しい相談も毎日3〜4件きていて、多いときは10件に達します。警察庁の発表では、公表されたランサムウェアの侵害事例は114件ですが、感覚的には実際の10%です。私が対応した事例もほぼすべて公表されていません」(名和氏)
このようにサイバー攻撃への対応がますます難しくなるなか、アクティブ・サイバー・ディフェンス(ACD: 能動的サイバー防御)も注目されるようになった。
「従来のサイバー攻撃対策は、検知を中心に攻撃を待つ対策でした。これは子供のピンポンダッシュへの対策のようなものです。しかし今の攻撃は、頑強な大人が10数人で屋内に侵入してくるような攻撃です。攻撃を待って対策しても侵入を防ぐことはできません。過去と現在ではそのくらいのインパクトの違いがあります。そこでACDでは、攻撃者がいつくるのか、どうやってくるのかをあらかじめわかっておこうとします。相手がわかれば、緊急避難的な対策をとったり、相手のやり方に合わせて被害を小さくしたりできます」(名和氏)
「攻撃経路に適応したセキュリティ対策を最大限に優先する」ことが重要
欧米ではACDが2016年頃までに法案化され、すでに官公庁向けにサービス提供されているという。国内では、民間も含めてどう実施するか議論が進んでいるところだが、名和氏は、ACDのポイントとして「ビジネスに影響を与えるすべてのシステム」を一元的に把握し、「システムの侵害可能性とビジネスのインパクトを評価」すること、そして「サイバーリスクに基づいた対処機能」を実装・維持することにあると説明した。
そのうえで谷水氏は、高度化・巧妙化するサイバー攻撃に対して組織がとるべきアクションについてこうアドバイスした。
「サイバー攻撃への対策は、大きく3つのフェーズがあります。攻撃を受ける前、攻撃されている最中、攻撃を受けた後です。一般的には、インシデントを防ぐために、攻撃されている最中のフェーズでさまざまなセキュリティソリューションを組み合わせて運用します。これも重要な対策なのですが、近年はそれだけでなく、攻撃者から見て狙われにくくする対策も重要になっています。CISA(米サイバーセキュリティ・社会基盤安全保障庁)によると、初期アクセスに成功した攻撃の41%は『有効なアカウントを利用した攻撃』です。背景にあるのは、デフォルトの管理者アカウントの利用、IDパスワードの漏洩、退職した社員のアカウント情報の放置です。アカウントの管理や脆弱性の管理といった攻撃を受ける前の対策を徹底することで狙われにくくすることが可能です。また、一度対策して放置するのではなく、継続的な対策が重要です」(谷水氏)
さらに名和氏は、セキュリティ教育や意識改革の重要性について触れながら、こうアドバイスした。
「セキュリティはよく『利便性確保とセキュリティ対策のバランスをとる』と言われます。しかし、バランスをとろうとして、穴だらけのセキュリティ対策になることがほとんどです。バランスを優先するのではなく、『攻撃経路に適応したセキュリティ対策を最大限に優先する』ことが求められています」(名和氏)
また、谷水氏は、DISでも顧客向けにDX教育サービスを提供するなかでセキュリティ教育も取り入れていることを紹介。「デジタル化だけを目的にするとセキュリティリスクも増えていきがちです。ビジネス視点で運用を見直し、どこにデジタルを適用し、どうセキュリティリスクを担保していくかを考えながら実行していく。これにより持続可能な本当の意味でのDXを推進してほしいと思います」と訴えた。
パネルディスカッション1
XDRはEDRやNDR、SIEMとどう違うのか
サイバーセキュリティの課題はかつてないほど複雑化・多様化し、従来の方法では対応が難しくなっている。そこでポイントになるのが自動化された統合型セキュリティ管理という新しいアプローチだ。パネルディスカッション1では、「最先端セキュリティへの挑戦: Cisco Systems & Palo Alto Networksソリューションから未来を探る ~ 複雑化する脅威環境での最適な対策とは ~」と題し、そのための代表的なソリューションである「Cisco XDR」「Cortex XSIAM」について議論した。
パネリストは、シスコシステムズ 執行役員 セキュリティ事業担当 石原 洋平氏とパロアルトネットワークス エコシステム事業本部 事業本部長 鈴木 康二氏。モデレーターは名和利男氏が務めた。
名和氏はまず、XDRが、EDRやNDR、SIEMとどう違うのか、監視対象やデータ収集範囲、導入の難易度、コスト、統合性といった軸で比較しながら、こう解説した。
「XDRは、エンドポイントやネットワークなどを監視対象に、統合されたデータを収集・分析します。リアルタイム性、自動対応の範囲、導入の難易度、コストパフォーマンスは高く、統合性も非常に高いです。XDRは、EDRやNDRのデータを統合し、見逃されやすい脅威を発見します。迅速な脅威対応と低コストな運用を両立させていて、複雑な環境でも単一のコンソールで全体を見渡すことができます」(名和氏)
また、シスコシステムズの石原氏は、Cisco XDRについてこう解説した。
「Cisco XDRは、テレメトリーやログ情報などさまざまな情報を収集し、相関分析をして、インシデントの優先順位付けを行います。複数の相関分析エンジンを用いてインパクトをスコア化し、それをもとにチームへの通報やネットワークやデバイス、ユーザーへの対処を自動化するワークフローを作成します。情報収集や相関分析エンジンはマルチベンダーに対応しています」(石原氏)
Cisco XDRとCortex XSIAMの特徴とは
一方、パロアルトネットワークスの鈴木氏はCortex XSIAMについてこう解説した。
「パロアルトネットワークスは、ネットワークセキュリティ、クラウドセキュリティ、セキュリティオペレーション、脅威インテリジェンスという4つの領域でプラットフォーム製品を提供しています。Cortex XSIAMは、セキュリティオペレーション領域を担う製品で、SIEM/SOCを変革する自動化を活用した自立型セキュリティプラットフォームです。一番の特徴は自動化して運用の負荷を削減します」(鈴木氏)
ディスカッションでは「エコシステムとオープン性」や「AIと自動化」などをテーマに設定し、意見を聞いた。
エコシステムとオープン性について、石原氏は「両立が大事」とし「さまざまなベンダーと技術を組み合わせることに強みがあり、オープンであることも重要です。Cisco XDRは、 EDR製品とは特に連携性が高く、なかなか変えにくい既存のエンドポイント環境をそのまま生かすことができます。またNetFlowを使ってネットワークの振る舞いもわかります」と話した。
また、鈴木氏は「弊社もXDRを提供していますが、XDRではシングルベンダーでの対応は難しいです。どんなものでもデータをきっちり統合できるかが重要です。ただ現実は非常に複雑であり、AIなどを用いて極力人の手間を省き、シンプルにしていくことに務めています。それでもAIだけでは難しく、スキルを持ったパートナーとともにエコシステムを活用することが重要です」とした。
AIと自動化について鈴木氏は「これまでとまったく違うアプローチなので考え方をドラスティックに変えていただくことが重要です。お客様にはPoCの実施や、事例、ノウハウの共有を行うなかで効果をご理解いただけるように務めています」とし、石原氏は「シスコではAI for Securityという考え方のもと、お客様を支援するアシスト、能力を強化するオーグメント、自動化するオートメートの3つを推進しています」と話した。
このほか「脅威インテリジェンス活用のアプローチ」「ゼロトラスト」などについて意見を述べ、それぞれの違いを明らかにするとともに、XDRが複雑化した運用をシンプルにし、対応を自動化するアプローチであることを訴えた。
パネルディスカッション2
ネットワークとセキュリティを融合させた概念「SASE」とは
クラウドサービスが普及し、ワークスタイルが大きく変化するなか、新たなセキュリティ課題への対応が求められるようになった。そこで注目を集めているのがSASE(セキュア アクセス サービス エッジ)だ。パネルディスカッション2では「違いのわかるSASEセッション ウチのSASEの強みはココだ!」と題し、SASEの基本からソリューション紹介、活用ポイントが明かされた。
パネリストは、SASEソリューションを展開するVersa Networks、シスコシステムズ、ルックアウト・ジャパンの3社の担当者が登壇。モデレーターはインターネットイニシアティブ セキュリティ情報統括室 室長 根岸 征史氏が務めた。
根岸氏はまずSASEの一般的な考え方について「SD-WANに代表されるネットワークの領域と、クラウドゲートウェイなどで表されるセキュリティの領域を融合した概念です。ネットワークを柔軟に構成しつつ、そのなかでセキュリティの機能を統一したポリシーで運用できることがメリットです。特にセキュリティ面では、従来、拠点にゲートウェイなどを設置して境界防御を行っていたものをすべてクラウド側でコントロールすることが違いです。境界型からクラウド型へという大きな流れのなかにSASEという概念があります」と解説した。
とはいえ、SASEという言葉は普及したものの、製品ごとにアプローチや機能が異なり、根岸氏にとっても「正直よくわからない」(同氏)状況だという。パネルディスカッションでは、その違いを明確にしていった。
Versa、Cisco、Lookoutが提供するSASE製品の特徴と強み
まずVersa NetworksのJapan SE Manager 鈴木優氏がSASE製品「VersaOne」を解説した。
「もともとセキュリティが内蔵されたSD-WANサービスを展開していましたが、コロナ禍を経てSASEに展開を進め、リモートアクセスやクラウドセキュリティを提供しはじめました。現在、そこにAIを統合したVersaOne Universal SASE Platformを提供しています。ネットワークとセキュリティを完全に統合することを目指して設計され、従来と根本的に異なるアプローチを採用しています。運用が非常に簡単であり、自動化で脅威を事前に検知して対応します。これによりネットワークが自分で防御する、自己防御型ネットワークを構築できます」(鈴木氏)
続いて、シスコシステムズ 執行役員 セキュリティ事業担当 石原 洋平氏が「統合型SASE」を解説した。
「統合型SASEは、SD-WANを担うCisco Merakiと、SSE(セキュアサービスエッジ)を担うCisco Secure Connectを統合したソリューションです。Cisco Secure Connectの中身は、クラウドセキュリティ製品のCisco UmbrellaやVPNサービス(VPNaaS)、ゼロトラストネットワーク(ZTNA)を統合したものです。特徴としては、MerakiのダッシュボードのなかにSecure Connectが入っているため、SD-WANとSSEの両方を1つの管理画面でシンプルに管理できることです。また、SSEだけでなく、SD-WAN側も自動ファームウェア更新で安全に活用できます」(石原氏)
ルックアウト・ジャパン リージョナル・セールス・マネージャー 水田大輔氏は「Lookout SSE」を説明した。
「ルックアウトはモバイルセキュリティに特化したセキュリティベンダーとして2007年に創業しました。モバイル専業でしたが2021年にSASEに参入し、Lookout SSEの提供を開始しました。SD-WANを提供していないためSSEと呼んでいます。モバイル脅威対策で培った技術をもとに、SWG、CASB、ZTNAを機能として提供します。例えば、Webやクラウドへのアクセスの可視化、危険なWebサイトへのアクセス防止、データ漏洩対策、シャドーITの検出などが可能です。特徴は、簡単な設定・運用、統一されたコンソール、最新のデータ保護機能にあります」(水田氏)
ネットワークやセキュリティの課題解決を図る手順とポイント
根岸氏は「製品の成り立ちはそれぞれ異なり、カバーしている領域、機能も異なるものの、シンプルという点では共通している」と総括。そのうえで、どのような顧客ニーズ、ユースケースに対応できるのかを質問した。
これに対し、ルックアウトの水田氏は「オンプレUTMのリプレースや、既存VPNをZTNAで置き換えたいといったニーズが多いです。製品としてはデータ保護に強みがありますが、実際にデータ保護を整備することは難しさがあります」とし、導入しやすいところから導入することをすすめた。
また、Ciscoの石原氏は「同じようにオンプレのプロキシやUTMを拠点からつなぐときに、これをクラウド化したいというニーズが多いです。またリモートアクセスVPNをクラウドにしたいというニーズもあります。その際には、まずオンプレで脆弱性対応や多要素認証を行ない、その装置をクラウド化して、まずは部分的にでも認証を強化したいアプリケーションについては、ZTNA接続にシフトするというステップを踏みます」と、段階的な導入が現実的とアドバイスした。
Versaの鈴木氏は「ネットワークや脅威の可視化を行うことで課題が明確になり、それがきっかけで導入に至るケースも多いです。SASEはネットワークとセキュリティの機能が統合されています。例えば、Windows Updateでネットワークが遅くなる時間帯を可視化し、その時間帯は安全を確保しながらセキュリティアップデートを避けて負荷を分散させるといった対応が可能です」と、SASEの機能を導入段階から活用できると述べた。
このほかにも、導入時につまずきやすいポイントや導入後の課題、将来展望などをテーマに活発に議論を交わした。
パネルディスカッション3
クラウドによって大きく変化するセキュリティ
セキュリティ環境は常に変化しており、企業は最新の脅威に対応するために継続的な対策が求められる。特にオンプレからクラウドに移行すると、セキュリティ対策の重要性はますます高くなる。パネルディスカッション3では「クラウドセキュリティをトータルに実現 脅威の変化に立ち向かえ!」と題して、クラウド移行時に注意すべき点や必要となる対策を議論した。
パネリストとしては、Sysdig Japanの川端 真氏、RSA Security Japanの八束 啓文氏、チェック・ポイント・ソフトウェア・テクノロジーズの佐久間 圭氏が参加。モデレーターはIIJの根岸氏が務めた。
まず根岸氏が「クラウドセキュリティという非常に幅広い分野についてディスカッションします。ここではそうしたクラウドセキュリティの幅広い分野のなかでも、それぞれの分野を代表するベンダー3社に集まっていただきました」と切り出した。
Sysdigの執行役員 GENERAL MANAGER, ALLIANCE AND CHANNELの川端氏は「Sysdig」を紹介した。
「Sysdigは、パケットアナライザWiresharkや振る舞い検知Falcoの開発者が創業した企業です。これらOSSをベースにCNAPP(クラウドネイティブアプリケーション保護プラットフォーム)と呼ばれる領域で事業を展開しています。クラウドのセキュリティ侵害は、脆弱性や設定の不備、不正なパーミッションなどを狙って、非常に短時間で行われます。これに対応するためには情報を1つに集め、ツールで分析して、少ない人員で対応することが重要です。Sysdigはそのためのプラットフォームです」(川端氏)
根岸氏は「クラウドのように大きく変化するタイミングで攻撃も変わります。そこでCNAPPのような新しい考え方が必要になります」と今後、日本でもSysdigのようなプラットフォームが広がっていくと予想した。
IDとアクセス管理やアクセス権の保証、事前防御の重要性
RSAのIdentity事業部長 Regional Director APJ Northの八束氏は「統合IDプラットフォームUnified Identity Platform」を紹介した。
「RSAは1977年にRSAアルゴリズムを開発したところからスタートしました。1986年にはワンタイムパスワードのデファクトスタンダードSecurIDの提供を開始しました。ただ現在はそれだけではなく、セキュリティファーストのベンダーとして、クラウドやモバイルに対応した多要素認証(MFA)やFIDO2に対応した認証方式も提供するほか、統合IDソリューションを提供しています。強みはハードウェアからソフトウェアまでさまざまな認証方式を提供できること。現在提供している統合IDプラットフォームは大きく2つの要素から成り立っています。本人認証やアクセス管理、SSOを担うID Plus / SecurIDソリューションと、IDガバナンスやIDライフサイクル管理を担うGovernance & Lifecycleソリューションです」(八束氏)
根岸氏は「RSAは認証に強みがあり幅広いソリューションを提供しています。さまざまなクラウドサービスが提供されるなか、IDとアクセス権管理が重要になっています」と、RSAの存在感が高まっていると評価した。
チェック・ポイントの執行役員 パートナー営業本部 本部長の佐久間氏は、eメールセキュリティ「Harmony Email & Collaboration」を中心に包括的な統合セキュリティプラットフォームを提供していることを紹介した。
「チェック・ポイントはファイアウォールを開発し世に出した企業です。20社以上の企業を買収し、技術革新と成長を続けてきました。Infinity Platformでは、ネットワークセキュリティ、クラウドセキュリティ、ワークスペースセキュリティ、セキュリティ運用とAIなどを包括的に提供しています。検知するだけでなくきちんと防御するために『Prevention not Detection』を提唱。99.8%という最高峰のリアルタイム脅威防御を提供しています」(佐久間氏)
根岸氏は「境界防御は限界で侵入を前提に対応すべきとよく言われます。ただ、検知対応が重要なのは防御があってこそです」と、リアルタイム脅威防御の重要性をあらためて指摘した。
ディスカッションでは、環境が変化するなかでベンダーとして変化にどう対応するか、脅威がどのように変化しているか、ソリューションの提案で何が課題になりやすいかなどをテーマに議論。CNAPPや認証、ID管理、eメールセキュリティなどの立場から、環境変化に柔軟に対応していくことの重要性を訴えた。