ファイアウォールの父が考える未知の脅威の防ぎ方:Maker's Voice
従来のセキュリティ対策では未知の脅威を防げないとも言われる。ファイアウォールの父として知られる米Palo Alto Networks創業者兼CTOのニア・ズーク氏は、「日本企業もセキュリティ対策の在り方を再考に迫られるだろう」と語る。
セキュリティのアーキテクチャを変える
標的型攻撃などのセキュリティの脅威は巧妙化、高度化する一方だ。従来のセキュリティ対策では防ぐことが難しく、狙われた企業や組織が情報漏えいの被害に気が付くまでに長い時間を要し、そのため対応の負担も計りしれない――。
“ファイアウォールの父”として知られる米Palo Alto Networks創業者 CTOのニア・ズーク氏企業や組織でおなじみのステートフルインスペクション型ファイアウォールや、近年に急速な普及をみせた次世代ファイアウォールの生みの親として知られる米Palo Alto Networks創業者 最高技術責任者(CTO)のニア・ズーク氏は、「サイバー犯罪者は少しのコストをかけるだけで攻撃を成功できる圧倒的に有利な状況だ。守る側は人海戦術で対応しているが、人材不足もあってますます不利になっている」と指摘する。
サイバー犯罪者は企業や組織が講じるセキュリティ対策を突破すべく、次から次に新たな手法を開発し、組み合わせて実行してくる。このため、セキュリティ対策を講じる側は常に“未知の脅威”にさらされ、“既知の脅威”を防ぐ従来型の対策手法が追い付かないばかりか、対策の運用を担う人手も足りていない。
「それなら、セキュリティ対策の運用を自動化すればいいという声も聞く。しかし、それで解決できると考えるのは早計だ。従来のセキュリティ対策は既知の脅威を防ぐのは容易だが、未知の脅威は無理。企業のアプリケーションやデータがあらゆる場所で利用される複雑な環境において未知の脅威へ備えるには、セキュリティのアーキテクチャを変えざるを得ない」
ズーク氏の考える新たなセキュリティのアーキテクチャとは、ネットワークセキュリティ、エンドポイントセキュリティ、クラウドコンピューティング、セキュリティアナリティクスといったさまざまなセキュリティの技術を結び付け、未知の脅威をいち早く検知し、被害抑止の対応行動につなげるというものだ。
従来のセキュリティ対策は、ウイルス対策や不正アクセス対策、Web対策といったように、個別の脅威を防ぐ方法が都度導入されてきた。結果的にそれぞれの対策技術が分断化、あるいは部分的にしか連携しておらず、未知の脅威は“対策の隙間”から侵入し、長期にわたって隠密に居座り続ける。
ズーク氏は、各種のセキュリティ対策が1つのプラットフォームとして機能するようになれば、未知の脅威の侵入を食い止められる可能性を高められ、少ない人手で個々のセキュリティ対策を運用しなければならないというムダも解決する自動化を実現していけると語る。
「未知の脅威をリアルタイムに止めることは難しいが、いまのセキュリティ技術なら5分以内に検知して止めることができる。それでも業務部門からすればその5分でも遅い。この時間をどれだけ短縮させるかが、セキュリティベンダーに求められるところだろう」
日本企業は決断に迫られている
ただ、企業や組織が長い時間をかけて講じてきた個々のセキュリティ対策を新しいアーキテクチャへ変えるには、それなりの時間や労力、資金を必要とするだろう。ズーク氏は、もはや思い切るしかないと話す。
「米国では2013年の小売大手Targetに対する標的型攻撃と膨大な個人情報漏えい事件が起きたことで、企業の考え方が激変した。それまでアドバイザーに過ぎなかった最高情報セキュリティ責任者(CISO)に権限と予算が与えられ、セキュリティ対策を戦略的に遂行することが当たり前になった。日本も年金機構における事件を学んだことで、米国と同じ流れになっていくのは間違いない」
ズーク氏によれば、米国ではセキュリティ対策を統合的なプラットフォームへ進化させることが潮流になっており、先行して取り組んだ企業や組織では標的型攻撃を迅速に検知、遮断することに成功し始めているという。
「残念なことに、私が20年前に開発したステートフルインスペクション型のファイアウォールは現代の脅威には通用しなくなってしまった。20年も続くアーキテクチャなど存在しない。そのためにPalo Alto Networksを創業し、全く新しいアプローチで次世代型ファイアウォールを開発してきた。私はセキュリティの脅威を防ぐことに全てを注いでいる」
セキュリティの脅威を防ぐことができなければ、ユーザーは脅威に委縮してITがもたらす利便性や革新といった恩恵を享受できなくなる。“ファイアウォールの父”がセキュリティ技術に取り組むのは、ITの未来を不幸なものにさせないという強い信念が根底にあるからだ。
関連記事
ファイアウォールでユーザー動向を可視化せよ、米Palo AltoのCTO
米ファイアウォールベンダーPalo Altoは、アプリケーション制御を伴ったネットワーク防御の必要性を訴求する。
第11回 ファイアウォール今昔物語 標的型攻撃で花咲く次世代FW
仮に日本で標的型攻撃が起きなかったら、次世代ファイアウォールは世に出ず、ずっと“次世代”のままだっただろう。今回は次世代ファイアウォールの普及の道のりから日本のネットワークセキュリティ環境の遷移をひも解く。
パロアルトネットワークスがPC/サーバ向け対策製品、ウイルス対策の置き換え狙う
定義ファイルを使わずエクスプロイトの実行やマルウェアダウンロードを阻止するという。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- SharePointのダウンロードイベントログを回避する2つの手法が見つかる
- 爆売れだった「ノートPC」が早くも旧世代の現実
- Rustの標準ライブラリにCVSS 10.0の脆弱性 任意のシェルコマンドを実行されるリスク
- AI導入はカンタン? 調査からセキュリティ専門家たちがナメている可能性があると判明
- キヤノンがグローバル330社の経営管理基盤を構築 連結決算を合理化した方法は?
- 「テクノロジー乱立問題」に立ち向かう 自社標準を決める“とってもシンプルな方法”とは?
- Copilot for Securityはどう使えばいい? マイクロソフトがプロンプトの例を公開
- そのインシデントは“重大”か? 判断の指標となる定量的/定性的な要素
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 日清食品はなぜ「生成AIを20日で導入」できたか? セキュリティ視点で考える
ITmediaはアイティメディア株式会社の登録商標です。