インシデントの高度化に伴って、従来のシグネチャベースの対策とは異なるアプローチを採用した新興市場が注目されている。そんな標的型サイバー攻撃対策ソリューションの最新事情に迫る。
登坂恒夫(Tsuneo Tosaka):IDC Japan ソフトウェア&セキュリティリサーチマネージャー
国内情報セキュリティ市場(セキュリティソフトウェア市場、セキュリティアプライアンス市場、セキュリティサービス市場)を担当。市場予測、市場シェア、ユーザー調査など同市場に関するレポートの執筆、データベース製品のマネジメントの他、さまざまなマルチクライアント調査、カスタム調査を行う。
標的型サイバー攻撃から防御するためのソリューションは数多く提供されているが、従来あるシグネチャベースのアンチウイルスソフトウェア以外の標的型サイバー攻撃対策のソリューションについて、2024年までの成長率を含めた動向を紹介する。具体的には、特化型脅威対策製品市場とセキュリティ情報/イベント管理製品市場、脅威インテリジェンスセキュリティサービス市場に分類した上で、2024年までの成長率を見ていこう。
特化型脅威対策製品とは、シグネチャレスの専用製品を中心としたソリューションで、EDRをはじめとしたエンドポイントSTAP(Specialized Threat Analysis and Protection)とともに、サンドボックスソリューションなどのゲートウェイソリューションなどが代表的なものだ。
セキュリティ情報/イベント管理製品は、SOC(Security Operation Center)の基盤としてセキュリティインシデントを分析、管理するためのソリューションで、SIEM(Security Information and Event Management)製品がその代表的なものになる。単なるログ分析基盤ではなく、セキュリティインシデントに関連した分析機能も兼ね備えたソリューションがこの領域に入ってくる。
脅威インテリジェンスセキュリティサービスについては、脅威インテリジェンスをベースに展開されるサービスで、インシデント対応サービスやマルウェア解析サービスなどのコンサルティングサービスをはじめ、脅威インテリジェンス情報を提供するデータフィードサービス、そして脅威インテリジェンスを活用したマネージドセキュリティサービスが含まれている。
これまでは、シグネチャをベースに検知した検体からワクチンを作成するシグネチャベースのソリューションがセキュリティ対策の中心だったが、ランサムウェアやEmotetなど個別に狙いを定めた標的型サイバー攻撃が増えたことで、検体そのものが集まりにくく、パターンマッチングのシグネチャだけでは防御が困難になりつつある。また、新型コロナウイルス感染症(COVID-19)の影響から自宅でのテレワークの普及が拡大しており、エンドポイントデバイスの脅威リスクへの対策が今求められている。
EDRやサンドボックス製品を含めた特化型脅威対策製品市場は、2019年における売り上げベースの市場規模は185億円となり、2019年から2024年までのCAGR(年間平均成長率:Compound Annual Growth Rate)は10.6%、2024年には307億円にまで拡大すると予測している。特に、サンドボックスで挙動を確認するソリューションでは高度化するマルウェアへの対応が難しくなってきており、最終的にはマルウェアが着弾するエンドポイントで振る舞いから脅威を特定し、迅速に対応するためのEDRをはじめとしたソリューションへのニーズが高まってくるはずだ。エンドポイントSTAPのCAGRは14%ほどに対して、ゲートウェイ系のソリューションは6.5%と、エンドポイントSTAPの方が大きく伸びると見ている。
セキュリティ情報/イベント管理製品市場については、多くの企業がインシデント対応の中核としてSOCの設置を進めており、その基盤となるSIEMをはじめとしたソリューションへのニーズも増加傾向にある。売上額をベースにした2019年の市場規模は80億円となり、2024年までのCAGRは5.6%で、2024年には105億円に拡大すると予測している。
SOC運用については、脅威インテリジェンス情報を収集するだけでなく、外部のサービスを利用して分析環境を強化する動きも出てくることになるだろう。ただし、セキュリティアナリティストなどの高度な知識を有する人材不足が以前から課題となっており、自前でSOC運用をすることが難しいケースも少なくないため、外部のマネージドサービスの利用が増えていくことが考えられる。またAIを含めた新たなテクノロジー活用によって自動化を含めたSOCにおける業務効率化に取り組まざるを得ない状況もあるため、そのための基盤としてのSIEMソリューションは今後も堅調に推移していくものと考えられる。
SOC運用のアウトソーシングの流れを受けて、脅威インテリジェンスセキュリティサービス市場についても堅調な伸びが期待できる。支払額をベースにした2019年の市場規模は195億円、2024年までのCAGRが7.5%で、2024年には280億円に拡大すると予測している。なかでも、エンドポイント側に導入されたEDRなどから寄せられる情報も含め、複数の脅威インテリジェンス情報を統合して活用できるMDR(Managed Detection and Response)サービスへの需要が高まっていくと見ている。このMDRを活用することで、ターゲットとなるシステムの特定はもちろん、攻撃者の特性を理解し、事後からプロアクティブでの対応にシフトするうえで重要なソリューションになってくるだろう。
なお、脅威インテリジェンスを提供するベンダーは主に海外のベンダーがその中心にあり、日本ではあまり例がない。脅威インテリジェンス情報については、スパイ活動を行うシンジケートのような組織を運営していく必要があり、単にダークウェブの情報を追いかけるだけでは十分ではない。確かにテクノロジーそのものを日本のサービス事業者が持つことは可能だが、アンダーグラウンドな活動までは難しいはずで、脅威インテリジェンス情報は海外ベンダーに頼らざるを得ないところだろう。
今回調査した国内標的型サイバー攻撃対策市場に関して、2020年についてはCOVID-19による国内経済の低迷で成長率が鈍化すると見ている。ただし、2021年以降については延期となった国際的なスポーツイベントを狙った高度なサイバー攻撃の増加が見込まれており、すでに準備を進めている企業は多いものの、インシデント発生後の迅速な対処に向けた投資は今後も進めていくと見ている。
また、大きなトピックの一つになっているのが、海外を中心としデータ保護に対する規制強化への対応だ。具体的なものは、欧州連合の一般データ保護規則であるGDPR(General Data Protection Regulation)や米国カリフォルニア州消費者プライバシー法であるCCPA(California Consumer Privacy Act)をはじめとした海外のプライバシー法、そして米国政府調達における管理すべき重要情報(CUI:Controlled Unclassified Information)の保護に対する政府以外の企業や組織に適用されるセキュリティ対策基準としてのNIST SP800-171だろう。もちろん、2020年6月に成立した改正個人情報保護法への対処も必要だ。
これら法規制への対応は、まさに経営リスクとして全社を挙げての対応が求められる部分だ。例えばプライバシー法については、罰金刑が大きな経営リスクになってくる。また、アメリカの政府機関が調達する製品や技術を提供する企業に対するガイドラインであるNIST SP800-171については、日本の防衛省などもこのガイドラインに沿った調達基準となる。万一ガイドラインに照らして不備があると、調達先から除外されてしまうことになり、信頼を失うことで取引停止などの自体も想定される。しかも、このガイドラインはサプライチェーン全体に影響が及ぶため、ビジネス的な影響は大きなものにならざるを得ない。このNIST SP800-171は機密情報のみならず、契約書や取引情報なども含めた情報保護の徹底が必要であり、広範な情報セキュリティ対策が求められてくる。2020年にはいくつかの日本企業で国防関連の情報が漏えいしたとされるインシデントが発表されており、まさにNIST SP800-171のガイドラインに抵触する事態も発生している。今後も十分な対策が求められる部分だろう。
ただし、国内経済が低迷を続ける現在の状況下では、セキュリティに対する投資額を大きく増やすことは難しい。それでも、法規制やガイドライン対応への投資が今後も必要になってくるだけでなく、マルウェアが着弾するエンドポイントの対策強化は一層求められてくることになる。そのため、従来の対策に振り分けていた予算をうまく調整するなどの動きが加速していくことも十分考えられる。
今後のセキュリティ対策は、当然ながらテレワーク環境を考慮する必要があり、投資の優先順位を変えざるを得ない状況にあることは間違いないだろう。特にテレワークにおいては、これまでの境界防御の考え方だけでは十分とはいえない。しかも、5GサービスやIoT(モノのインターネット)を中心としたエッジソリューションが広がっていく可能性が高く、マルチクラウド環境での情報活用も相まって、もはや境界という概念は存在しづらい状況にある。そんな状況下で新たなデータ保護対策を検討することが必要になるが、テレワークの対応は、まさにそのスタートラインといえる。
では、どのような対策を検討していくべきなのか。まずは、データを安全に使える環境づくりを進めた上で、守るべきデータをしっかり棚卸を実施することで特定し、そのデータ保護をいかに図っていくのかが重要になってくるだろう。データの取り扱いに関する対策は、現在はアクセスコントロールがその中心にあり、その制御のためにエンドポイントの情報を有効活用する流れが一般的だ。また、クラウドのデータ保護については、暗号化やDLPといったCASBが持つ機能を活用していくことが、今後ますます重要になってくるはずだ。もちろん、全ての情報がクラウドへ移行するわけはないため、引き続きVPNで社内に接続する環境においては、境界防御対策も欠かせないものになってくることは忘れてはならない。
これら複雑化した環境においては、さまざまなテクノロジーを駆使して対策を進めていく必要があるため、脅威ごとに自社で対策を施していくのは現実的には難しい面もある。そんな状況を回避するためには、複数のセキュリティソリューションを統合したパーペイシブなプラットフォームが必要になってくるだろう。そのための環境づくりに向けて、ある程度ベンダーの淘汰(とうた)が進むことも考えられる。そして企業側も、このプラットフォーム化された環境をうまく利用していくことで、企業リスクを最小限に軽減しながら安全な環境を整備することができるようになるはずだ。ニューノーマルな環境に適用できるよう、今後も新たなセキュリティ対策の動向に注目いただきたい。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。