写真提供:マイナビニュース

写真拡大

●脅威インテリジェンスの統合はユーザーにとっても大きなメリット
米シマンテックは10月27日、ブルーコートの脅威インテリジェンスを自社の脅威インテリジェンスに統合したことを発表した。世界最大級の脅威インテリジェンスは、顧客にどんなメリットをもたらすのだろうか。今回、シマンテックのCTOに着任したヒュー・トンプソン(Hugh Thompson)博士と、ワールドワイドフィールドオペレーション担当シニアバイスプレジデントに着任したマーク・アンドリュース(Marc Andrews)氏に話を聞いた。

○シマンテックとブルーコートの統合のメリットとは?

シマンテックがブルーコートの買収を完了したのは今年8月のこと。シマンテックが強みとしてきた、エンドポイント、メール、DLP、データセンターなどのセキュリティに、ブルーコートが強みとしてきたWebゲートウェイが加わったことで「エンドポイントからクラウド、インフラストラクチャまでをカバーした統合ソリューション」を提供できるセキュリティベンダーとなった。

8月の発表では、事業統合計画チームが両社それぞれの強みを生かすべく、企業規模とポートフォリオ、リソースを拡大させ、より堅牢でコストパフォーマンスの高いセキュリティ環境を提供するとアナウンスされた。それから2カ月たち、具体的な統合作業の1つの成果として発表されたのが脅威インテリジェンスの統合だ。

もともとシマンテックとブルーコートはそれぞれの脅威インテリジェンス「グローバルインテリジェンスネットワーク」を独自に構築し、インテリジェンスから得られる知見やノウハウをそれぞれの製品に反映してきた。今回の統合により、脅威インテリジェンスが収集するデータソースは、約1億7500万のエンドポイント、1億6300万のメールユーザー、8000万のWebプロキシユーザーにまで広がった。1日に処理するセキュリティ・リクエストは約80億件に達しているという。

トンプソン博士が統合の成果として強調するのは、これまで見逃していた脅威を確実に検知できるようになったことだ。

「新たに発見できるようになった脅威の数は1日当たり50万件だ。もし、両者が統合しなければ、この50万件は発見されないまま顧客にとっての脅威であり続けていた。私は、シマンテックとブルーコートの統合が決まった時、2つの脅威インテリジェンスが1つになることで、よりパワフルな脅威インテリジェンスを実現できると直感しワクワクした。それが実際に数字として現れたことがとてもうれしい」(トンプソン博士)

こうした新たな脅威の発見は、それぞれの製品間で情報を共有することで可能になったという。例えば、ブルーコートのセキュアWebゲートウェイ「ProxySG」で発見されるマルウェアや悪意のあるURLの情報は、シマンテックの「Symantec Endpoint Protection」や「 Norton Security」と共有される。一方、Symantec Endpoint ProtectionやNorton Securityで発見されるマルウェアや悪意のあるURLは、ProxySGと共有される。ちょうどそれぞれの製品が補い合うように脅威インテリジェンスを強化した格好だ。

○世界最大級の脅威インテリジェンスの意味するところ

「脅威インテリジェンスの統合は極めて補完的だ。わかりやすいのは、シマンテックのDLP製品とブルーコートのCASB製品の連携だろう。DLPはオンプレミス環境でのデータ損失を防止する。一方、CASBはクラウド環境でのアクセスを管理する。統合することで、オンブレミス環境で作成してきたファイル管理のポリシーを、クラウド上のDropboxやBox、OneDriveなどに適用できるようになる」(トンプソン博士)

脅威インテリジェンスの統合は、ユーザーにとっても大きなメリットとなる。両社の製品は、Fotune 500企業の70%に採用されている。そうした企業に対して行われた攻撃や脅威の情報は、すべてのユーザーのエンドポイント製品やゲートウェイ製品に反映される。主要企業に対する攻撃をブロックできる知見やノウハウをそのまま利用することができる。「これは顧客にとっての大きな価値だ」とトンプソン博士は強調する。

そのほか、インテリジェンス統合の成果として、香港の犯行グループが企てていた新しいキャンペーンを検知したことや、金融機関のATMやSWIFTネットワークを対象にしたキャンペーンも検知したこともあるという。今後は、さらに統合の密度を高める予定だ。

「統合はまだ完全ではない。顧客の利用状況に合った脅威インテリジェンスの提供していく必要がある。例えば、クラウドサービスを利用する場合、社内のProxyやWebゲートウェイを介さずにパケットがインターネットに流れていくケースがある。そうしたトランザクションもCASBできちんとつかまえて、脅威インテリジェンスとして共有していく必要がある」

トンプソン博士は、フィッシングサイトを機械的に判断するためのアルゴリズムの開発にも関わっている。この取り組みは、既知のフィッシングサイトのスクリーンショットを取得し、画像に対してディープラーニングを行うことで、新たなフィッシングサイトが登場した時に素早く検知するというものだ。すでに13万7000件のフィッシングサイトを発見するなど実績を上げている。こうした事情を見ると、応用数学を専門とするトンプソン博士がシマンテックCTOに着任したこと自体が、シマンテックとブルーコートの統合の成果の1つと言っていいかもしれない。

実際、トンプソン博士は「脅威インテリジェンスの統合は、テクノロジーが統合したことが重要なのではない。そのインテリジェンスを活用する人の統合こそが最も大きな成果だ」と強調する。セキュリティリサーチャーは、700人規模と世界最大級であり、エンジニアも2500人規模だ。研究開発をいっそう推し進め、グローバルレベルで発生する脅威に対抗していくという。

●統合による日本市場への影響は?
○「サービスとしてのセキュリティ」に向けて販売支援体制の整備へ

国内ユーザーにとって気になるのは、両社の統合により、製品の販売体制やサポート体制がどのように変化するのかといった点だろう。シニアバイスプレジデントとしてワールドワイドフィールドオペレーションを担当するアンドリュース氏は、こう話す。

「今会計年度が終わる3月末までは、シマンテック、ブルーコートそれぞれの販売戦略で進める。4月からは、統合後の1つのチーム、すなわち、シマンテックのエンタープライズチームとして日本国内で製品を取り扱っていく。戦略自体がドラマチックに変化することはないが、今日のセキュリティの動向に合わせて変化させていく必要があると感じている」

現在、取り組んでいるのは、パートナー向けの支援プログラムの強化だ。グローバルレベルで販売体制の統合プログラムを進めているのが、日本のパートナーが、このプログラムにうまく対応できるよう支援している。

「パートナー向け施策は、リセラーパートナー向け、サービスプロバイダー向け、マネージドサービスプロバイダー向けの3つで行われている。それぞれの市場を強化し、それぞれのパートナーの価値が高まるよう、戦略を練っているところだ」

戦略を立案する背景として考えなければならないのは、この2〜3年におけるセキュリティ状況の変化だ。アンドリュース氏によると、脅威が高度化、グローバル化し、それに対抗するテクノロジー、スキル、セキュリティ人材が世界的に不足するなかで「セキュリティの使い方」が変わってくるはずだと指摘する。

「セキュリティ対策のための装置や人材を自社で確保することが難しくなってきた。そこで注目されるようになったのがSecurity as a Serviceのような考え方だ。サービスプロバイダーやマネージド・サービスプロバイダーが、顧客に対してセキュリティをサービスとして提供する。既存のサービスをクラウド環境に移行するための支援も重要になってくる」

アンドリュース氏は日本でのビジネス経験も豊富だ。今回の統合で十数年ぶりに日本を訪れ、顧客の声を直接聞く機会を得たが、その過程で、日本のユーザー企業におけるセキュリティ意識が大きく変化したことに驚いたという。

「経営層がビジネス課題としてセキュリティをとらえるようになった。IoTの取り組みが活発化していることや、2020年の東京オリンピックをひかえ、ハッカーからも日本市場に注目しはじめている。グローバルなインテリジェンスと経験で、日本企業のセキュリティの取り組みを支援していきたい」(アンドリュース氏)

(齋藤公二)