「常に変化する脅威をどう特定するか」がカギに McAfee CEOがクラウド時代のセキュリティ対策に言及：MPOWER 2018

McAfeeは2018年10月17日、18日にかけて年次カンファレンス「MPOWER 2018」を開催。企業のクラウドシフトを背景に、2018年夏に発表したクラウドベースのポートフォリオ「MVISION」の強化を発表した。

[高橋睦美，ITmedia]

　この10年ほどで、ITを巡る環境は大きく変化した。中でも、企業システムに最も大きな影響を与えたのはクラウドの普及だ。「クラウドもあり」という控えめな状態から「クラウドファースト」へと変化する中、McAfeeもまた、「クラウドファースト、クラウドネイティブ」に沿ったロードマップを提示している。

　McAfeeは2018年10月17日、18日に開催した年次カンファレンス「MPOWER 2018」において、2018年夏に発表したクラウドベースのポートフォリオ「MVISION」の強化を発表した。既にリリース済みの「MVISION ePO」「MVSION Endpoint」「MVISION Mobile」に加え、2017年に買収を表明したSkyhigh NetworksのCASB（Cloud Access Security Broker）ソリューションをベースにした「MVISION Cloud」と、脅威の検知・対応を支援する「MVISION EDR」を追加し、この2〜3年で進めてきたクラウド志向をいっそう鮮明に示した。

　基調講演において同社CEOのクリス・ヤング氏は、企業を取り巻く環境が3つの面で変化していると説明した。

McAfeeのCEO、クリス・ヤング氏

　1つ目は脅威の変化だ。単純な攻撃から国家が関与する高度な攻撃への変化に加え、次々に新たな脅威が登場している。WannnCryをはじめとするランサムウェアが2017年に猛威を振るったかと思えば、2018年は仮想通貨の採掘を勝手に行うコインマイナーが急増するといった具合で「常に変化していく脅威をどう特定するかが課題だ」とヤング氏は述べた。

過去数十年のサイバー脅威の動向

　2つ目はIT環境の変化だ。「クラウドの登場がこれまでのシステムの在り方を大きく変えた。アプリケーションやネットワークなど分野ごとに細分化されていたものが、全てサービスとしてシンプルに利用できるようになっている」（ヤング氏）。同時に、何百万ものデバイスが5Gをはじめとする高速な回線によってクラウドにつながる時代が到来しつつある。

　最後の変化は法規制だ。GDPR（General Data Protection Regulation：一般データ保護規則）やPCI DSS（Payment Card Industry Data Security Standard）、HIPPA（Health Insurance Portability and Accountability Act）といったさまざまな法規制やガイドラインへの順守が求められるようになったのは周知の通りで、いっそうの透明性確保も求められている。

　ヤング氏はこうした変化を踏まえ、「新たなやり方、新たな保護を取り入れ、スピードアップしていくべき時に来ている」と来場者に呼び掛けた。

　それを具現化したのがMVISION CloudとMVISION EDRだという。

　MVISION CloudはいわゆるCASB製品だ。SaaSだけでなくPaaS、IaaSといった一連のクラウドプラットフォームにまたがって利用状況を可視化し、ポリシーに従って制御する。

　ここまでならば旧Skyhigh Networksのソリューションでもできたことだが、MVISION Cloudはさらに、複数のクラウドにまたがってデータを保護する「クラウド版DLP」的な機能を実装している。「クラウド上のデータも、クラウドからダウンロードするデータも、あるいはクラウド間で共有するデータも保護していく」（ヤング氏）。APIを介して主要なクラウドサービス以外もサポートする他、ビヘイビア分析によって、疑わしい動きをしているユーザーを見つけることも可能という。

　MVISION EDRは、マネージド型のEDRにAI技術を組み合わせ、インシデントレスポンスを迅速に行えるようにするソリューションで、2019年第1四半期にリリースされる見込みだ。

　既存のEDR製品では、多数のアラートを検知できるものの、「本当にクロか」「影響を受けているのはどの端末で、どの経路で侵害を受けたか」といった、セキュリティ担当者や経営者が本当に知りたい答えを用意するのに時間を要していた。これに対しMVISION EDRはAIとMcAfeeが構築してきた脅威インテリジェンスを活用して答えを絞り込み、インシデントレスポンスの所用時間を短縮する。

　McAfeeのバイスプレジデント兼セキュリティ製品担当ゼネラルマネジャー、ラジャ・パーテル氏は、「セキュリティオペレーションはスピードが命だ。早く見つけられれば、その分侵害による影響を抑えることができるが、それができる人的リソースは限られていたし、優先順位付けもアナリストの手作業に頼っていた。MVISION EDRは人間とマシンの協力（Human Machine Teaming）によって、レスポンスの速度を高め、侵害の調査作業を自動化する」と述べた。

　パーテル氏はまた、MVISION EDRとMVISION ePOを組み合わせて約1800件のアラートをAIの力で16件に絞り込み、PowerShellを用いたファイルレス攻撃を検知したり、同じアラートでも、一般ユーザーではなく管理者権限を持つ「IT Admin」のアカウントで発生したインシデントの深刻度を「クリティカル」と判断し、侵害拡大（ラテラル・ムーブメント）を防ぐために隔離するといったデモンストレーションを紹介した。

MVISION EDRとMVISION ePOを組み合わせたデモンストレーション

　ヤング氏は基調講演の最後に、「クラウドの登場によってITシステムの自由度が高まり、柔軟性やアジリティが高まった」と説明した上で、「オンプレミスからマルチクラウドへの移行に当たって、セキュリティを後付けにしてはいけない」と強調。パートナーと協力しつつ、クラウドの世界に向けたセキュリティ対策のビジョンを示していくと宣言した。

（取材協力：マカフィー）