【元記事をASCII.jpで読む】

 パロアルトネットワークスは2018年4月12日、エンドポイントセキュリティ製品の最新版「Traps 5.0」の国内提供を開始した。新たにクラウドベースでの管理サービスが追加されたが、これは単にTrapsのクラウド移行だけを目的としたものではない。昨年6月に同社が発表したクラウドプラットフォーム「Application Framework」のビジョン実現に向けた統合作業の一環だ。

 加えて、この2日前の4月10日には、米パロアルトがイスラエルのEDRベンダーであるセックドゥ(Secdo)の買収意向も表明している。これもまた、Application Frameworkを通じてエンドポイントセキュリティを強化していくための一歩だという。

 今回は、来日した米パロアルト SVPのジョン・ナッサー氏、日本法人の広瀬努氏に、Application Framesorkを通じてパロアルトが実現しようとしている次世代セキュリティ環境について聞いた。

Traps 5.0の新機能、クラウド上のログリポジトリとの統合強化

 まず初めに、今回国内提供を開始したTraps 5.0の新機能、機能強化点などをまとめておこう。

 前述したとおり、Traps 5.0では新たにクラウド管理サービス「Traps Management Service」が利用できるようになった。これにより、エンドポイントにエージェントをインストールするだけで、オンプレミスで管理サーバーを構築することなく、短期間に社内展開ができるようになった。もちろん自社運用の手間もかからない。

 ただし、この新機能の主目的は単なるクラウド移行ではなく、クラウドベースのログサービス「Logging Service」との統合強化にあると広瀬氏は説明する。新しいクラウド管理サービスを利用すると、Logging Serviceのログリポジトリ100GBぶんが標準で提供され、そのデータはサードパーティ製も含むApplication Framework上のさまざまなアプリケーションが利用できる。

 Traps 5.0では、エンドポイントインジケータとネットワークインジケータとの相関付けも可能になっている。これにより、たとえばTrapsでマルウェア感染が検知された端末を、次世代ファイアウォール(NGFW)が自動的にネットワーク隔離して攻撃を防ぐといった連携も可能になった。

 次に、管理サービスのクラウド化に合わせて管理コンソール(Webインタフェース)も刷新されている。個々のセキュリティイベントに対する対応履歴や重要度のランク付けを行い、複数のIT/セキュリティ担当者間でインシデント管理/情報共有ができる(イベント重要度の自動振り分け機能も備える)。また、クラウド脅威インテリジェンスサービスの「WildFire」とも連携しており、エンドポイントで発生した脅威についての詳しい情報もドリルダウンして簡単に閲覧できるようになっている。

 加えて、エージェントの対応プラットフォームにLinuxが追加された(Red Hat Enterprise Linux、CentOS、SUSE Linux、Ubuntu Server)。これにより、特にクラウドシステムにおけるサーバー保護にも対応しやすくなった。

 最後に、定期的あるいは任意のタイミングでマルウェアスキャンを実行するプロアクティブスキャン(オンデマンドスキャン)の機能も追加されている。Trapsの基本的な仕組みは、何らかのプロセスが起動する際に検査を行ってマルウェアの実行を阻止するというものであり、つまりこうした(起動前のマルウェアの)スキャンは行わない。だが、広瀬氏によると、業界や企業によっては採用の要件として定時スキャン機能を求める顧客もいるため、この機能が追加されたという。

徐々に実現してきたApplication Frameworkビジョン、その価値

 広瀬氏によれば、今回のTrapsアップデートにおいては「自動化」を進めること、特に従来の防御(マルウェア実行防止)だけでなく侵入後の対策(ネットワーク内の侵攻拡大阻止)までを自動化していくことがテーマになっているという。そのために大きな意味を持つのが、ネットワークセキュリティとの情報連携であり、Logging Service(およびApplication Framework)への対応だった。

 Application Frameworkのビジョンにおいては、エンドポイント上のエージェントや企業ネットワーク上のNGFWは“センサー”として働き、そこで収集したログデータはクラウドに集約されて統合や相関付け、解析が行われる。この情報をさまざまなセキュリティシステム間で共有することで、脅威の実態を立体的に明らかにするだけでなく、セキュリティシステム間が連携するかたちで対処の自動化も進めることができる。

 そのため、実は今回のTraps 5.0や3月に発表した「PAN-OS 8.1」においては、従来よりも多くのログ情報が収集できるような機能強化もなされていると広瀬氏は説明した。

 そして、エンドポイント領域における次の一手が、セックドゥ買収によるTrapsへのEDR機能の追加となる。ナッサー氏は、まだ同社の買収意向を発表したばかりであり、具体的な提供開始時期や販売形態などは検討中だとしながらも、単一のTrapsエージェントで、これまでのゼロデイ攻撃阻止、アンチマルウェアに加えてEDRの機能も提供していくと説明した。このEDR機能もApplication Framework上のクラウドアプリケーションのひとつとして開発/実装されるため、比較的迅速に開発が進むものと考えられる。

 「オンプレミス型で提供する場合、さまざまな顧客環境に適合するように製品開発を進めなければならない。Application Frameworkの場合は(パロアルトの保有するクラウド環境で実装するので)そうした煩雑さから解放されている」(ナッサー氏)

 なお、Application Frameworkベースで提供されているセキュリティアプリケーションとしては、今回のTraps 5.0のほか、NGFWをクラウドサービスとして提供する「GlobalProtect cloud service」、機械学習を適用して攻撃者の侵入後の挙動を検知する「Magnifier(マグニファイア)」がある。

 今年3月に発表されたMagnifierについて広瀬氏は、攻撃者がターゲット企業への侵入後に行うさまざまな行動(内部偵察など)を検知するソリューションだと説明する。こうした攻撃者の異常行動をネットワークログだけで見ても、管理者が行う正当な行動と見分けることが難しい。そこでMagnifierでは、機械学習を用いてユーザーとエンドポイントデバイスの動作をプロファイル化し、「管理者は誰なのか」「どんなツールを使っているのか」といったことまでを把握したうえで、異常な/不審な挙動だけをあぶり出すことができるという。

 大量のログを学習する必要のあるこのサービスも、Logging Serviceがなければ開発できなかっただろうと広瀬氏は述べ、Trapsのアップデートによってさらに詳細なエンドポイントの情報も加わることで、Magnifierの検知精度もより高まるだろうと期待を示した。

Application Frameworkは「とりわけ日本企業にとって重要なものになる」

 Application Frameworkの最終的なビジョンとは何か。ナッサー氏は「完全に自動化されたセキュリティプラットフォームを構築し、人間が介入しなければならない部分を削減する、次世代セキュリティプラットフォームを構築すること」だとまとめた。

 「まずは『サイバー攻撃を事前に防御する』部分での自動化。さらに、対処に手間のかかる未知の攻撃においても、その最も重要な部分だけに人間が注力できるように自動化する。そして、企業が新しい防御技術やイノベーションを迅速に導入できるような自動化もある。こうしたものをプラットフォームとして提供していく」(ナッサー氏)

 それを実現するアプローチとして、既知の脅威は人間が介入することなく自動的に検知/防御を行うこと、ユーザー/デバイス/アプリケーションに対して一貫したポリシーを自動適用すること、人間では検知することが難しい攻撃を機械学習やアナリティクスの力で処理することを挙げた。さらに、新技術やイノベーションの導入を迅速化するためにクラウド上でプラットフォームを構築して、「セキュリティ版の“App Store”のようなものを作っている」(ナッサー氏)ことも挙げられるだろう。

 「こうしたわれわれのソリューションは、とりわけ日本企業にとって重要なものになるだろう。どの企業も潤沢なセキュリティ人材の確保ができず、サービスプロバイダーに依存しているのが現状だ。それでもなお、セキュリティ人材不足は深刻な課題だからだ」(ナッサー氏)

パロアルト「Traps 5.0」の意義は単なるクラウド移行ではない