「IoTセキュリティ」を発表: 今後組織の防御はこれ抜きでは語れない

This post is also available in: English (英語)

はじめに

IoTの登場は、その潜在的能力の高さからじつに華々しいものでした。ビルや街灯のセンサ、フローモニタ、 監視カメラ、IP電話、POSシステム、会議室テクノロジなど、形はどうあれ、IoTはネットワークにも組織内にも入り込み、あらゆる企業やビジネスにとって不可欠なインフラになっています。そのせいか、IT部門の方々とお話をさせていただくと、きまって「セキュリティ上の懸念を抑えつつIoTデバイスの性能も最大に活かせるIoTのセキュリティソリューションが欲しい」という声が聞こえてきます。そこで弊社は、この2つのニーズの間でうまくバランスをとれるようなアプローチを開発しました。

本稿では、弊社のアプローチがどのようなものかについて、そして現在のIoTがかかえる問題点とソリューションについて、少し詳しく見て行きたいとおもいます。 

IoTデバイス特有のセキュリティ課題とは

セキュリティ部門はIoTデバイス特有のセキュリティ課題に悩まされています。たとえば企業内ネットワークに接続されているのに管理されていないことが多かったり、種類が違うとハードウェア、オペレーティングシステム、ファームウェアなども違ってくるといった課題です。くわえて、こうしたデバイスにはさしたる規制も取られておらず、パッチが適用されないままになっていたり、未知の脆弱性があるままで出荷されていたり、耐用年数がサポート期間を超えてしまう、といった例も少なくありません。2020年3月に弊社の脅威インテリジェンス調査チーム Unit 42 が公開した2020 年 – Unit 42 IoT 脅威レポートでも、「IoTデバイスの57%は重大度中〜高の攻撃に対して脆弱」で、「全IoTデバイス トラフィックの98%は暗号化されていない」と述べています。

とりわけ大きな懸念の1つが、サイバー攻撃を仕掛けるためにIoTデバイスが兵器化される懸念があることでしょう。つい最近も、Sofacyグループ (別名Fancy Bear、APT28)がVoIP電話、オフィスプリンタ、ビデオ デコーダなど広く利用されているIoTデバイスを侵害し、複数の企業ネットワークに侵入していることが判明したばかりです。しかもこの事件も数あるIoTセキュリティインシデントの1つにすぎません。

計画して組み入れたIoTデバイスですら、リスク評価やポリシー適用は難航するのが普通ですが、IT部門が把握しないまま、そっと持ち込まれるデバイスも少なくありません。ITも把握せぬまま持ち込まれたデバイスは、セキュリティ保護をうんぬんする前に、その存在を洗いだすところからはじめなければならず、その作業がまた一苦労なのです。

残念ながら、現在の主流である境界型ネットワーク防御では、こうしたIoTデバイス特有のセキュリティ課題にうまく対応することができません。新興IoTセキュリティベンダもこうした課題の一部にしか対応できないケースが多いようです。たとえば既知のアセット タイプのデバイスしか識別できなかったり、ルールベースのポリシー エンジンを手動で編集せねばならずスケーリングが難しかったり、単機能のセンサしか実装していなくてそれが扱いにくかったりして、現実的なセキュリティ対策を行いたければ結局は他のベンダ製品と統合せざるをえなくなる、などがよくあるケースです。

ようするに、既存のアプローチでは、先に述べたようなIT部門からあがってくるニーズを満たせないのです。 

IoTセキュリティ ライフサイクルにおける機械学習の役割

弊社では、IoTセキュリティのもたらす課題に最も効果的に対応する方法はIoTデバイスのセキュリティライフサイクルを包括的に保護することだと考えています。そのアプローチの中核となるのが機械学習(ML)です。2019年の秋、弊社は製品ファミリにZingboxを迎えいれました。同社が特許を取得した3層機械学習プラットフォームこそ、企業がネットワーク内の管理されていないデバイスを発見・特定するのに役立つ最高のテクノロジだと考えたからです。

このZingboxのテクノロジを、やはり特許取得済みの弊社App-IDテクノロジで強化することで、新しいIoTデバイスを自動的に発見し、リスクを評価し、学習内容をIoT保護ポリシーに変換できるようになりました。弊社の多彩な防御機能を適用した「IoTセキュリティ」は、クラウドで提供される他のすべてのセキュリティサブスクリプションと組み合わせ、IoTデバイスやOTデバイスを標的とする既知・未知いずれの脅威も阻止することができます。 

IoTセキュリティ実装のシンプルに

弊社ソリューションの場合、他のソリューションと異なり、専用のセンサも、エンフォース用の追加製品も、手動によるフィンガープリンティング テクノロジも、ライセンス処理のための煩雑なIoTデバイス数計算も必要ありません。それでいて、包括的なソリューションが手に入るのです。 

すでに弊社製品をご利用のお客様であれば、「IoTセキュリティ」は新たなサブスクリプションとして提供されますから、管理下にないIoTデバイスを(PAシリーズのハードウェア アプライアンス、VM-Series の仮想化ファイアウォール、クラウド提供型のセキュア アクセス サービス エッジ(SASE)ネットワーク セキュリティサービスのPrisma Accessなどを通じて)パロアルトネットワークスのMLベース次世代ファイアウォール上からただちに確認できるようになります。

さらに、現時点ではまだパロアルトネットワークス製品をお使いではない潜在的なお客様の場合も、ML搭載の次世代ファイアウォールで「IoTセキュリティ」を提供することにより、これをセンサ、エンフォースポイントとして機能させることができます。連携機能をもたない他社IoTセキュリティ製品と比較してもお求めやすい価格で、既存ファイアウォールのない場所にある管理外デバイスに検出・保護・エンフォースを提供できますので、わざわざ製品を複数購入して統合したり、運用プロセスを変更してIoTデバイス用の包括的セキュリティソリューションを用意する面倒もありません。いずれにせよIoTデバイスの保護にセンサが必要になるのであれば、何も可視化のためだけに苦労して統合や運用変更を行う意味はないのではないでしょうか。

パロアルトネットワークスがお手伝いします

皆さんは、黎明期からIoTデバイスの導入を進めている業界のアーリーアダプターかもしれませんし、今まさに採用を検討中で、概念実証を行っている段階のアーリーマジョリティかもしれません。いずれの段階にあるにせよ、破滅的なセキュリティ侵害リスクからIoTへの投資を守り、最適化していく要となるのがセキュリティ対策です。私たちは、皆さんが攻撃者のさらに先を行くお手伝いをするためにここにいます。

IoTセキュリティについて詳しくは、「IoTセキュリティ サブスクリプション」のページをご一読ください。

インテリジェント ネットワーク セキュリティ: LinkedIn ライブ ブロードキャスト:

製品バイス プレジデントAJ Shipleyと南北アメリカCSOPaul CalatayudがLinkedIn Liveに登場し、業界初のML搭載次世代ファイアウォールに関する質問に答えました。イベントをオンデマンドで見る


Secure Today,
for a Better
Tomorrow
Join us at IGNITE’20