業種・規模の別なく、サイバー攻撃は約8割、
内部犯行は約4割の企業が経験

貴社設立の背景についてお聞かせください。

当社は、2005年に米国で創業しました。CTOを務める創業者のニア・ズークは、現在のファイアウォールのひな型とも言えるステートフルインスペクションや、IPS（Intrusion Prevention System）のような侵入防御システムを初めて世に出した開発者の一人です。彼は以前在籍していた企業で、既存製品ではこれからのサイバー攻撃には対応できないと訴えたのですが、新製品開発のための予算は認められませんでした。そこで、自らの信念を貫くために起業し現在に至ります。2007年に最初の製品を出荷して以降、おかげさまでビジネスは順調に推移し、企業規模の拡大を続けています。当社の製品はグローバル企業の総収入ランキングトップ100の「Fortune 100」に名を連ねる企業のうち、95社に導入され、日本国内でも2009年の日本法人設立後、多くのお客様に活用いただいています。

貴社は、セキュリティ製品の開発・販売だけでなく、サイバーセキュリティに関する脅威情報の発信にも注力されている印象があります。

当社の脅威インテリジェンスチームであるUnit 42は、新たな脅威を最初に発見して発表する機会が多いことから、名前を知っていただいているお客様が多いように思います。Unit 42は、脅威ハンティング（スレット・ハンティング）にも積極的に関わり、標的型攻撃などのサイバー犯罪についての調査も担当しています。犯人につながる情報を発見した際には、各国の政府や法執行機関への情報提供や捜査協力も行っています。

2019年に、サイバー攻撃の被害について私どもが調査を行ったところ、約8割の企業で実際に情報漏洩が発生したり、ランサムウェアによりファイルが暗号化されたという被害を受けていることがわかりました。退職する社員が個人情報を持ち出すなどの内部犯行も、約4割の企業が経験しています。企業規模により多少の差はありますが、この調査結果から業種・企業規模に関係なく被害に遭っている実態がわかります。また、海外ではやり始めているサイバー攻撃の手口は、いずれ必ず日本国内に入り込んできますので、セキュリティご担当の皆さまには、できるだけ敏感に情報を察知していただきたいと思います。Unit 42の発信する情報は、ソーシャルメディアのほか、月に一度ニュースレターを配信していますので、信頼できる脅威インテリジェンスを入手する手段として、ぜひお申し込みください。

貴社で実施されている社員の方へのセキュリティ教育についてお聞かせください。

当社でも、多くの企業で実施されている標的型攻撃メールに対する訓練を定期的に実施して、どの部署のクリック率が高いのかなどを継続してチェックしています。また、実際に当社に対して行われている攻撃の情報を社員に公開することで、セキュリティに対する意識を高めてもらっています。本年4月に初めて全社的なテレワークを行った際には、それまでにテレワークを経験したことのない社員もいたため、オンラインでのトレーニングを実施してテレワークを行う上で心得ておくべきことを学んでもらいました。当社はセキュリティ製品のベンダーということもあり、一般的な企業と比較するとITインフラを含めて対策は進んでいると思いますが、人に対するアナログな対策も重視しています。

サイバー犯罪は、遠くのどこかで起こっていると感じている人が多いようですが、実際には身近に発生しています。皆さまにはこの事実を社員に知ってもらうための取り組みをお願いします。過去に起こったいくつかのセキュリティ事故は、社員への教育を重視していれば、もう少し違う結果になっていたはずです。

テレワークを実施する企業が増えたことで、特に注意するべき攻撃についてお聞かせください。

今、企業のセキュリティにとって危険だと感じているのは、プライベートと業務が混在した状態で行っているテレワークです。プライベートのアドレスに届いたフィッシングメールによって、SaaSを経由して会社のIDとパスワードが盗まれ、企業のネットワーク内部に侵入されてしまうといった事例が出てくるのではないかと危惧しています。

新型コロナウイルス感染症により実施された緊急事態宣言時には、日本のアナログな文化がテレワークを阻むものと考えられていましたが、このところ、ようやく脱はんこやペーパーレスの動きが加速しそうな状況になってきました。今後、デジタル化が進むことで注意しなければならないのが、ビジネスメール詐欺です。デジタル化が進んでいる欧米の例を見ても、これまでFAXで対応していた書類をメールやクラウドストレージでやりとりするようになれば、ビジネスメール詐欺の被害が増えることは明らかです。

EMOTETによる攻撃メールが増加していることは、皆さんご存じだと思います。多くの情報が出回っていますので、注意するべきポイントもすでに把握されているのではないでしょうか。今、そのほかの攻撃で注意していただきたいのは、フィッシングです。メールの添付ファイルであれば、技術的な対策やメールの添付ファイルを開いてはいけないというルールの徹底で、ある程度は防げると思います。しかし、開いたメールに日頃からやりとりしている取引先だと疑う余地のない文章が書かれていれば、本物だと信用し、そこに書かれたURLをクリックしてしまいます。フィッシングの場合、テクノロジーですべてを止めることが難しいため、社員にURLをしっかりチェックする癖をつけてもらうなど、繰り返し教育して気づきを高めてもらうという地味な対策が必要です。

本当に必要なアラートのみを通知することで、
1日500件のアラートが7～8件に減少した事例も

すべての通信が信頼できないことを前提としたゼロトラストへの注目が急激に高まっています。

以前は、社員が企業内ネットワークの中で働くことを前提としていましたので、すべてのビジネスアプリケーションがオンプレミスのサーバー上にありました。近年はクラウドへのビジネスリソースの移行が進み、テレワークの増加でその勢いが加速しています。ゼロトラストのようなネットワークモデルが求められるようになった要因は、社内と社外の境界線が急速に失われたことにあるように思います。

ゼロトラストの生みの親であるジョン・キンダーバーグは、現在当社のフィールドCTOを務めています。提唱したのは米国の調査会社の調査員だった2010年ですが、今では世界中に広まり、これからのセキュリティ対策の基本になると言われるようになりました。彼が当社を選んだのは「自分が考えるゼロトラストを実現できるのは、パロアルトネットワークスしかない」という理由です。ゼロトラストの話をすると、それだけで数時間必要なのでここでは割愛しますが、境界線が曖昧になっている今、もはやこれまでの境界線防御では役目を十分に果たせません。どこにも信用できる場所がない状況で、大事な情報をどうやって守るのか、それがゼロトラストの基本的な考え方です。私どもは、このジョン・キンダーバーグの考えを、さまざまなテクノロジーでどう実現するかをベースにゼロトラストを提案しています。

ゼロトラストのポイントである「信用」ですが、見落としてはいけないのが社員への信頼が一番危険な脆弱性ということです。これは、内部犯行だけではなく、誤ってクリックしてしまうなどの過失も含まれます。さらに、現在はビジネスリソースを使う際、社員に付与したアカウントが使用されますが、そのアカウントの乗っ取りが現在のサイバー攻撃の常とう手段です。アカウントが付与された本人以外に悪用されるリスクがあるという前提もゼロトラストをベースにしたセキュリティ対策に含まれます。

貴社は、次世代ファイアウォールのベンダーというイメージが強いのですが、エンドポイントセキュリティを自社製品に加えられた理由についてお聞かせください。

当社の製品ラインナップにエンドポイントセキュリティ製品が加わったのは、2014年にCyvera（サイヴェラ）というエンドポイントセキュリティの企業を買収したことから始まります。企業のセキュリティ対策の多くは、ファイアウォールやプロキシ、IPS、エンドポイントなど、それぞれのポイントで異なるベンダーのソリューションが導入されています。そのため、攻撃を受けた際に攻撃者がどのようなアクションでそのポイントまでたどり着いたのか全体像を把握するのが難しく、お客様から相談を受けた際に私どもの製品だけでコントロールできないことに課題を感じていました。そこで、単一のポイントソリューションではなく、ネットワークやエンドポイント、クラウドやIoTに至るまで、全体を包括的に見ることのできるプラットフォームを目指し、クラウドやIoTのセキュリティ製品などの会社を買収してきました。通常、買収した会社の製品には手を加えず、そのまま市場に出すことが多いのですが、私どもはお客様の使い勝手にこだわり、一つのプラットフォームとして提供することに注力しています。当社製品との親和性のあるアーキテクチャにすることで相乗効果を高め、全体を通して一貫した防御の提供を目指しています。これは、企業のセキュリティご担当者の負荷軽減にもつながります。多くの企業では、セキュリティを専門に担う人材が不足していたり、人数はそろっていてもスキルが十分ではなかったり、高いスキルを持っている人に属人化してしまっているなどの問題を抱えています。そのような状況で、複数のセキュリティ製品から大量のアラートがどんどん上がってくれば、個々のアラート処理に忙殺され、セキュリティ対策の強化など、大事な取り組みに時間を割くことができませんし、個人のスキルアップにかける時間が奪われてしまいます。私どもが目指しているトータルなサイバーセキュリティソリューションは、このような問題を解決し、テクノロジーを通じてセキュリティ対策業務の効率化と高度化につなげることです。

2019年、これまでの「Traps」に代わり「Cortex XDR」をリリースされましたが、どのような違いがあるのでしょうか。

「Traps」のようなEDRとの一番の違いは、カバーできる範囲です。XDRのXは変数だと考えています。Xは1でも2でも何にでも変化し、全体を統合する力を持っています。当社の旧製品「Traps」が対応していたのはエンドポイントだけでしたが、「Cortex XDR」はネットワークやクラウド、IoTなどにも対応しています。

近年の企業におけるエンドポイントセキュリティ対策の強化状況は、昔からのアンチウイルス製品を使い続けながら親和性のないEDRを導入するため、運用負荷がどんどん上がってしまっているように見えます。「Cortex XDR」は、AIや機械学習を通じた分析で脅威を見つけて対策するのはもちろんですが、エンドポイントだけでなく、ネットワークやクラウド、IoTなども含めて一つのプラットフォームで対応できるという、従来型のEDRとはかなり異なるアプローチの製品です。

EDRを活用したセキュリティ対策は難しいという印象を持たれている方もいらっしゃるかもしれませんが、多くはアラートが出た際の対処に人間の判断が必要なことではないでしょうか。「Cortex XDR」は、検知した情報をいったん機械学習でスクリーニングして、本当に対応が必要なものだけをアラートとして上げることができるため、難しい判断を行う回数を減らせます。また、従来のEDR製品の多くが、一つのインシデントに対して、個々のアラートをベースに複数の製品からログを集めて分析しますが、「Cortex XDR」は初めから一つのインシデントとして情報をまとめて確認できる特長があります。実際に導入されているお客様では、1日500件くらい上がっていたアラートが7～8件まで減った事例もありますし、1/50に減ったという数値も出ています。以前は対応に6時間かかっていたのが、平均して10分くらいに収まるようになったというお話も聞いています。アラートをそれだけ減らしてセキュリティに問題がないのかを懸念されると思いますが、これについては第三者調査機関で検知・防御率の高さが証明されています。独立した調査機関であるMITRE社の調査では、実際に攻撃者が使うテクニックベースで、どれだけ防御できたのか検知結果を公表していますが、複数の製品の中で「Cortex XDR」はナンバーワンの検知・防御力であるという評価を受けています。第三者機関によるテストでは、多くのベンダーが過検知・誤検知を防ぐ目的で、実際に導入される際にはオフにしている機能をオンにしています。第三者機関のテストでは良いスコアを取るためにこのような設定変更は当たり前になっていますが、「Cortex XDR」では通常の運用いただく状況を意識し、あえて設定変更を行わず、それでいてナンバーワンの検知・防御力であると評価されています。そのような観点からも人の判断が必要なアラートを減らした上で結果を出している「Cortex XDR」は、お客様に安心して導入いただける製品と言えるのではないかと思います。

Cortex XDRによるセキュリティ運用の改革

最後に、セキュリティご担当の皆さまにメッセージをお願いします。

今、働く環境が従来とは大きく変化し、企業におけるセキュリティ対策は大変な状況になっています。クラウド活用の増加や仮想化など、さまざまなテクノロジーが入ってくることにより、これまでのように単一の境界で守るモデルは崩れてしまいました。セキュリティご担当の皆さまは、予算や人的リソースの問題などもあり、対応には非常に苦労されていると思います。しかし、このような過渡期にある今こそ、これまでのオペレーションが継続可能なのかを含め、これからの企業のデジタルインフラとそれを支えるサイバーセキュリティというものが今後どうあるべきなのかを再考する、非常に良いタイミングでもあります。私どもは、これからの時代に求められるデジタルインフラ、デジタルビジネスに合ったサイバーセキュリティ対策を支援していますので、ぜひご相談いただければと思います。