セキュリティが完璧に機能しても「攻撃側は成功し続ける」、エフセキュアの戦略は：IoTセキュリティ

[齊藤由希，MONOist]

エフセキュアのキース・マーティン氏（クリックして拡大）

　エフセキュアは2020年2月18日、東京都内で事業説明会を開いた。同社 アジアパシフィック地域バイスプレジデントのキース・マーティン氏は2020年のセキュリティ市場について「巧妙化する攻撃や、トリクルダウン効果による高度なサイバー攻撃ツールの“普及”への対応が求められるため拡大する見通しだ」と述べた。

　また、東京オリンピック・パラリンピックや、増加するサプライチェーン攻撃、スマートホームデバイスの普及、デジタル変革（DX）にともなうクラウドサービスの活用もセキュリティ市場の拡大につながる。さらに、EU（欧州連合）の個人情報保護法であるGDPR（一般データ保護規則）や、米国カリフォルニア州で施行されたカリフォルニア消費者プライバシー法（CCPA：California Consumer Privacy Act）などへの企業の対応もセキュリティ対策を後押しする。

　マーティン氏はサイバー攻撃のトリクルダウン効果について、「国家レベルの攻撃を企むハッカーは、膨大なリソースを投入してゼロデイ攻撃のツールを開発している。そのツールが他のハッカーグループに流出し、新たな機能が付加されながら監視の目をかいくぐって広く普及する。それが、国家レベルほどではない金銭的な利益を狙う犯罪グループや、自説の主張のためにハッキングする活動家、ベッドルームハッカーへと行き渡る」と紹介。こうした環境を受けて、攻撃に対する「予測」「防御」「検知と対応」をカバーするソリューションのポートフォリオを展開する。「防御」では、エンドポイントだけでなくクラウドの保護も力を入れている。

サイバー攻撃におけるトリクルダウン効果（左）。エフセキュアのポートフォリオ（右）（クリックして拡大） 出典：エフセキュア

　エフセキュア CTOのユルキ・トゥロカス氏は「ソリューションがほぼ完璧に機能していても防御側の勝利ではない」と強調した。製造業ではアルミニウムメーカーのNorsk Hydroがサイバー攻撃を受け、工場の一部が生産停止に追い込まれた。動画配信サービス大手のNetflixや、アマゾン（Amazon.com）創業者ジェフ・ベゾズ氏の携帯電話機を対象としたハッキングも話題となった。

エフセキュアのユルキ・トゥロカス氏（クリックして拡大）

　トゥロカス氏は、攻撃側が成功し続けられるのは人間のミスの影響が大きいと指摘する。人間のミスによってPCのディスク容量不足でパッチが当てられない状態だったことから攻撃を受けたり、設定を誤って公開すべきでない情報を公開したりする。また、2020年1月の調査では、Windowsの世界シェアのうち、サポートが終了したWindows7が20％を占めており、Windows XPやWindows Vistaもわずかながら使われ続けているという。

　「会社で使うPCのうち、1台でも脆弱性があれば攻撃できてしまう。今後、インターネットにつながるデバイスの増加によって脆弱性も増える。さらに、ソフトウェア更新チャネルへの攻撃やハードウェアインプラントなど、サプライチェーンから誰も信用できないほどの攻撃も出てきている。攻撃者は予防策を回避し、見えない存在になろうとしている」（トゥロカス氏）

　こうした攻撃の高度化を受けて、エフセキュアではURLやファイル、アプリケーションなどが信頼できるかを評価するレピュテーションシステムと分析プラットフォームを強化しており、ビッグデータから得られる知見を活用し、より大規模な範囲で攻撃の検知と対応をおこなえるようにしている。また、AI（人工知能）や群知能を使ったセキュリティプロジェクト「Project Blackfin」を開始し、クライアント上でのインテリジェントな異常検出、データの収集や送信の最適化や費用対効果に優れた保護の提供、攻撃後の対応の自動化などに取り組んでいる。その成果はすでに実際の製品に取り入れられているという。

攻撃の高度化に対応する体制の構築に取り組む（左）。Project Blackfinの概要（右）（クリックして拡大） 出典：エフセキュア

　エフセキュアの2019年の業績は、売上高が前年比14％増の2億1730万ユーロ（258億1788万円）で、過去最高を達成した。中でもB2B部門の売り上げは前年比27％増のプラスで、B2C向けセキュリティの売り上げを上回った。2019年の同社のB2B関連の取り組みとしては、産業制御システム向けのIEC62443の認証を取得した他、買収したコンサルティング会社を統合した「F-Secure Consulting」の発足などがあった。