原文は『The Marker』(サイバーマガジン)。
ハッカーがピクセルやメタデータの中に悪意のあるコードを隠し込むようになった現代において、OPSWAT 「Deep CDR™」テクノロジーOPSWAT 。この技術は、あらゆるファイルを構成要素まで分解し、完全にクリーンな状態のファイルを再構築するものです。サイバーセキュリティ・アーキテクトのノアム・ガヴィッシュ氏が、この技術の背景にある考え方と、それがどのように多層的な防御システムを形成しているかを解説します。
イスラエルのあるセキュリティ機関では、予期せぬ方向からの脅威に直面し、内部のサイバーセキュリティチームが不安を抱き始めていました。彼らの懸念は、一般的なサイバー脅威である「侵入」ではなく、気づかれないうちに「外部へ漏洩してしまう可能性」にありました。コードネーム、場所、身元といった機密情報が、一見無害に見えるファイル――Word文書や画像のメタデータ、さらにはピクセルそのものの中にさえ――隠されているのではないかと恐れていたのです。 DLPシステムではこれを検知できず、専門家も何を探すべきか分からず、この状況は解決策のない「見えない脅威」のように感じられた。そのギャップを埋めたのが、OPSWATCDR™テクノロジーだ。この技術はファイルを構成要素に分解し、必要なオブジェクトのみを用いて再構築する。
「この考え方はシンプルで、『ゼロトラスト』のアプローチに基づき、すべてのファイルは疑わしいものだと仮定しています」と、OPSWATセキュリティアーキテクトであるノアム・ガヴィッシュ氏は述べています。「Deep CDR™テクノロジーシステムは、各ファイルを分解し、その機能に必要な要素のみを残して再構築します。その結果、元のファイルと全く同じでありながら、完全にクリーンな状態になります。 エンドユーザーがファイルを使用する機能は従来通り維持され、システムはファイルの種類や特定のチャネルに基づいてモジュールの動作を調整できるようにしています。私たちは、ファイル内の何かが善か悪かを判断しようとはしません。必須でないものは、組み込まないのです。」
このロジックを説明するために、ガビッシュは2001年9月、つまり9.11の1週間後に起こった炭疽菌攻撃について言及している。この炭疽菌攻撃では、炭疽菌の胞子を含む手紙が米国のさまざまなメディアと2人の上院議員に送られ、5人が死亡、17人が感染した。「私たちの技術に当てはめると、もし顧客が手紙を受け取った場合、私たちのシステムは新しいページに一字一句書き直します。
では、危険なファイルかどうかをチェックする代わりに、危険だと決めつけ、一切入れないというのか?
「その通りだ。不必要なものは、たとえその理由が説明できなくても、単に通過しない。悪意があるかどうかを判断する必要はない。不要なものは除外される」とガビッシュは強調する。「ゴールは検知ではなく、攻撃対象領域を極限まで小さくすることです。脅威が目に見えなくても、チャンスはない。これは深い心理的洞察に基づいている:人は理解できないものを恐れるものであり、ファイルも同じように扱う。これは一種の生存メカニズムなのです」。
サイバーセキュリティと情報可用性のバランス
ガヴィッシュ氏が説明する「コンテンツ・ディアーム・アンド・リコンストラクション(CDR)」という技術は、市場では目新しいものではありませんが、OPSWAT 、アーカイブ、メディアファイル、アクティブなマクロを含むドキュメントなど、極めて複雑なファイルOPSWAT 。この機能拡張により、同技術は「Deep CDR™ テクノロジー」と名付けられました。
とはいえ、ガヴィッシュ氏は、Deep CDR™テクノロジーは、あらゆる情報交換チャネルを通じて組織(特に重要インフラ)を保護するために設計された包括的なプラットフォームの一部に過ぎないと強調しています。その範囲は電子メールシステムから始まり、エンドポイントに接続USB にまで及び、内部システムインターフェースも含まれます。あらゆるソースからのすべてのファイルが、多層的なセキュリティスキャンを受けます。
特に、ハッカーが組織へのアクセスを得るために第三者を標的にするサプライ・チェーン攻撃では、攻撃対象が拡大するにつれて、このことがますます重要になっている。ハッカーはまた、組織の弱点を特定する。例えば、人事部門は毎日何十通もの履歴書を受け取るが、その多くはPDFや画像であり、その背後には完全なオペレーティング・システムが隠されている。人事部門は、Officeファイルの最大の受け手でありながら、サイバーセキュリティに対する意識が最も低い傾向があります。もう1つの弱点は、マルウェアが含まれている可能性のあるリムーバブル・メディアです。
「Deep CDR™テクノロジーだけに頼っているわけではありません。なぜなら、単一のモジュールですべての課題に対処することはできないからです」とガヴィッシュ氏は説明する。 「ファイルがCDRに到達する前に、複数のアンチウイルスエンジンを通過します。パッケージによっては30以上にもなります。その後、Deep CDR™テクノロジーを通過し、Sandbox 。そこでファイルがデコードされ、コードが分析され、特定の入力に対してそのファイルが何を行うか、あるいは何を行う可能性があるかが判断されます。」
その基本原則は、単一の検知メカニズムに頼るのではなく、多層的なセキュリティを採用することです。アンチウイルスが何かを見逃した場合、Deep CDR™ テクノロジーがそのファイルを再構築します。Deep CDR™ テクノロジーが不審なファイルを削除しなかった場合や、さらなる確認が必要な場合は、Sandbox がその動作をSandbox 。不審な点がないと判断された場合にのみ、そのファイルは組織内への持ち込みが許可されます。
OPSWAT 持つ力を示すため、ガヴィッシュ氏は同社のセキュリティアーキテクチャを、多層的な防御で攻撃者を疲弊させた中世の城に例えています。 「サイバーセキュリティにおいて重要なのは、何と言っても『層』です。城のように、まず堀があり、次に鉄の門、そして弓兵、さらに上から沸騰した油が注がれる。Deep CDR™テクノロジーは魔法ではありません。それは城壁を構成するもう一つのレンガに過ぎないのです。そして、城壁のない城は城とは言えません。」
技術的な組み合わせであり、プロセスシリーズでもあるわけですね?
「その通りです。Deep CDR™テクノロジーは特定の用途に、Sandbox 別のSandbox 、両者を組み合わせることで包括的な防御を実現します。単独では、あらゆるシナリオに対応することはできません。例えば、Deep CDR™テクノロジーとアンチウイルススキャン、Sandbox 組み合わせることでSandbox 各レイヤー単独では見逃してしまう可能性のある高度な攻撃Sandbox 。 私たちが提供しているのは、単なる単一のセキュリティソリューションではなく、多層的なプラットフォームです。私たちは、孤立した防御壁ではなく、循環型のセキュリティプラットフォームを構築しました。マルチエンジンスキャン、行動分析、そして中核となるDeep CDR™テクノロジー——これは、一切の疑問を挟むことなく、各ファイルをクリーンな状態で再構築する技術です。」
このプラットフォームは現在、DOC、PDF、ZIP、画像、オーディオ、ビデオなど、業界標準の2倍にあたる190種類のファイルをサポートしている。また、ファイルのパス、構成、保存先に合わせてセキュリティ・レベルを調整します。
「ガビッシュは言う。「保護は脅威の全体像に及びますが、それぞれの脅威には固有の性質があります。「また、データの流れを止めたり、オペレーションを遅らせたりもしたくありません。セキュリティと可用性のバランスをとりながら、クリーンな方法で再導入するのです。汚染された可能性のある小川から水を飲むように、あなたは浄化タブレットを使い、その過程でミネラルを諦める。しかし、もしタブレットがもっと賢ければ、ミネラルを浄化し、保存することができる。それが私たちの目標です。隠された悪意のあるコンテンツを除いて、データを元の構造で提供することです。
組織のあらゆるエントリー・ポイントを保護する
重要インフラをサイバー脅威から守るというビジョンを掲げて2002年に設立されたOPSWAT 、現在80カ国以上で約2,000社の顧客にサービスを提供している。北米、ヨーロッパ(英国、ドイツ、ハンガリー、スイス、ルーマニア、フランス、スペインを含む)、アジア(インド、日本、台湾、ベトナム、シンガポール、アラブ首長国連邦)などにオフィスを構えている。
イスラエルでは、OPSWAT 何百もの大手企業にサイバーセキュリティ・ソリューションを提供している。
ガビッシュ自身は2007年からサイバーセキュリティに没頭し、攻撃と防御の間を行き来してきた。彼は防衛産業からスタートし、その後サイバー企業で「レッドチーム」と「ブルーチーム」の両方の職務に就いた。OPSWAT 、水、電気、輸送、防衛といった重要インフラの保護で有名だが、実はそのサイバーセキュリティ・プラットフォームはあらゆる組織に適している。
私は、"重要インフラ "の定義を広げることを提案する。どの組織にも重要なものがある。マルウェアによって印刷機が停止し、新聞社が印刷できなくなったとしたら、それは大惨事です。新聞社にとって、印刷機は重要なインフラなのです。医療保険会社が機密性の高い顧客データを流出させれば、壊滅的な打撃を受ける。その場合、データは重要なインフラである。ハッカーがエレベーターの制御装置を破壊した場合(非常に現実的なシナリオだが)、制御装置が重要なものになる。データの出入口など、あらゆるタッチポイントが潜在的なリスクであり、私たちはそれを守るための準備をしています。私がいつも言っているのは、重要なシステムを守るには、インターネットだけを考えるのではなく、あらゆる可能性のあるゲートを考えるべきだということです。時には、サーバーやポートではなく、30階にあるバックドアであることもあります。電子メールや一見何の変哲もないファイルから攻撃される可能性があるこの世界では、あらゆる角度から物事を考える者だけが真の意味で準備ができているのです。OPSWATシステムは、エンドポイント、電子メール・サーバー、外部デバイスを接続するキオスク端末、さらには一方通行のファイル転送システム(Data Diode)を保護するために構築されている。単純な画像ファイルにさえ攻撃コードが埋め込まれている可能性がある世界では、それを分解してクリーンな状態に再構築することは、パラノイアではなく、完全に理にかなっている。"
時代に合わせて、AIをどの程度活用していますか?
「AIは流行のバズワードとなったが、OPSWAT 単に見せかけのためにAIを使用するのではなく、本当に役立つ場合にのみ使用する。AIを使用していると主張するウイルス対策エンジンの99%はML(機械学習)を使用している。とはいえ、AIは新たな攻撃テクニックを構築することに長けているため、何重もの防御が重要になる。私たちは既知のシグネチャだけに頼ることはありません」。
しかし、レイヤー化されたセキュリティであっても、完全ではありません。サイバーセキュリティにおいて、100%の保護というものは存在しない。
OPSWATそのことを理解しています。だからこそ私たちのアプローチは、脅威が検出されたかどうか、既知かどうか、データベースに登録されているかどうかに関係なく、脅威を無力化するのです。攻撃者と防御者の駆け引きに終わりはありません。私たちは壁を作り、門を作り、橋を架け、射手を配置する。100%はないが、信頼できるプラットフォームはある。"
