サイバー攻撃を受けた端末を自動で切断、悪意ある通信をAIがあぶり出す：自動化された攻撃には「自動化された防御」が必要

　Fortinetは2018年2月27〜28日に開催した年次カンファレンス「Accelerate 18」（米国ネバダ州ラスベガス）において、同社のセキュリティアプライアンスに搭載する専用OSの最新バージョン「FortiOS 6.0」を発表した。200以上の新機能を追加したメジャーアップデートとなる。米国では2018年第1四半期に提供開始予定だ。

　FortiOSは、同社のネットワークセキュリティアプライアンス「FortiGate」などで動作する専用OSだ。Fortinetは2015年に「セキュリティファブリック」という新しいコンセプトを打ち出した。統合され、可視性を備えたネットワークセキュリティの実現に取り組む動きだ。FortiOS 6.0はこのコンセプトをさらに強化し、セキュリティ運用の自動化を支援する。

　新バージョンでは、SD-WAN（Software Defined WAN）機能の強化によるパスコントロールの追加、マルチクラウド環境に向けたクラウドコネクタの拡張、CASB（Cloud Access Security Broker）機能の拡大、IoT対応など多数の機能強化が図られた。中でも興味深いのが、セキュリティオペレーションを自動化するワークフロー機能の追加だ。

　近年、サイバー攻撃に対して防御だけでなく検知と対応に目を向けた対策が広がっており、SOC（Security Operation Center）やCSIRT（Computer Security Incident Response Team）などの体制構築に取り組む企業が増えている。だが、監視すべき対象が増え、防御のためのセキュリティ機器が増え、イベントが増えるにつれ、管理者は日々多数のログやアラートと格闘しなくてはならず、運用の負荷が高い。

Derek Manky氏

　「確かに多層防御のアプローチは必要だが、問題はそれらが統合されておらず、オーケストレーションされていないことだ。セキュリティファブリックでは、セキュリティ機器が互いにコミュニケーションを取り、アクションを支援するインテリジェンスに基づいて対応できるようにする」と、同社のDerek Manky氏は述べている。

　同社はこれまでもセキュリティファブリックを実現する仕組みを作り上げてきた。ログ管理とレポート管理を一元化するFortiAnalyzerやFortiSIEM、あるいは市場の他のSIEM（Security Information and Event Management）製品が、セキュリティ機器やネットワーク機器から上がってくる多数のログや情報を脅威インテリジェンスとも付き合わせながら分析し、優先順位を付けられるよう支援してきた。

自動化された防御で脅威に即応

　FortiOS 6.0ではさらに一歩踏み込み、あらかじめ定めたルールに従って、不審な兆候を認識すると、FortiGateやスイッチ、アクセスポイントなどが人の手を介さずに「コントロール」する。当該端末の隔離、調査といったさまざまな対応を自動的に行える。これもセキュリティファブリックという仕組みがあるからこそ実現できるとした。

　Accelerate 18の展示会場では、FortiAnalyzerとエンドポイント向けのFortiClientなどが連携し、端末に侵害があったことを把握するとVLAN（Virtual LAN）の設定やファイアウォールの設定などを変更して自動的にその端末をネットワークから切り離すデモを紹介していた。被害を最小化する作業を、管理者が介在しなくても実現できる。

　「人が介在しなくても対応できるため、たとえ深夜や週末に何かが起こっても迅速に対応できるし、隔離すべき端末のIPアドレスの打ち間違いといった設定ミスも防げる」とブースの担当者は説明した。

　FortiOS 6.0では、「トリガー」と「アクション」を選ぶことで、ユーザーが自動運用のルールを作成できる。セキュリティファブリックの各機器の設定だけでなく、WebフックやAWS Lambdaを組み合わせたアクションも可能だ。ブースではスマート照明と連携して点灯させるデモを見せており、アイデア次第でさまざまな処理が可能になるだろう。

　Manky氏は「サイバー犯罪者、攻撃者側の動きはどんどん迅速になっている。攻撃にさらされる時間を短縮するには、より高速かつ簡単に防御、対応する仕組みが必要だ。自動化された攻撃に対処するには、自動化された防御が必要だ」と述べた。

　同社はさらに次のステップとして、「インテント」（意図）ベースのネットワークセキュリティの実現も視野に入れているという。ビジネスの視点や経営の視点でセキュリティに関する指示と運用を実現することが目標だ。いわゆるスクリプトではなく、英語（自然言語）を使って指示、運用ができるよう、タグ機能をFortiOSに実装している。

「スウォームボット」にAIで対抗

　同社はAccelerate 18で、、機械学習によって脅威の分析と検出を行う「FortiGuard AI」も発表した。セキュリティ業界では近年、さまざまな脅威をAIや機械学習を活用して検出しようとするアプローチが広がっており、FortiGuard AIもその潮流に沿ったものといえるだろう。

　「サイバー犯罪のビジネス化が進むにつれ、2018年の脅威予測で指摘したスウォームボットのように、自己学習し、環境に自律的に適応する攻撃が登場するだろう。自動化され、アジャイルな攻撃のスピードに追い付くにはAIが必要だ」（Manky氏）

　FortiGuard AIは、同社がクラウド上に構築してきた脅威インテリジェンスを強化する形で提供する。多数の「正規の通信」と「悪意ある通信」を学習することで、脅威を高い精度で検出するという。シグネチャやIoC（Indicators of Compromise）など先を見通した形（プロアクティブ）の検出方式を補完し、対応を支援する。

　Fortinetはユーザーの振るまい分析（UEBA：User and Entity Behavior Analysis）にもFortiGuard AIを適用する計画だ。

〔取材協力：Fortinet〕