アンディ・パテル
「次世代型」のアンチウィルスベンダーについて尋ねられることがよくあるが、それも当然と言えば当然なのかもしれない。この2年間(つまりは「次世代型」ベンダー登場以降)、彼らは、大きな声を上げて、ずいぶんと大胆な主張を行ってきた。そこで、「次世代型」ベンダーとはいったいどんなものなのか見ていこうと思う。
AV(アンチウィルス)業界のコーペティション
しかし、「次世代型」ベンダーがどんなことを目論んでいるのかについて取り上げる前に、古き良き時代のことを少し思い出してみよう。この30年間、エンドポイント保護業界のベンダーは、「コーペティション(coopetition)」という形でやってきた。つまり、販売の面では激しく競争(competition)しながらも、アナリストや開発者やエンジニアたちは情報を共有し、サイバーセキュリティ業界全体の利益のために協調(cooperation)する体制をとってきた。そうした協調的競争(cooperative competition)の例として、カンファレンスやイベントを通じてのナレッジの共有、サンプル(ウィルス検体)の共有、スレットインテリジェンス(脅威対策の知見)の共有、いくつかの標準規格の策定などがある。
そうしたコーペティションが形になった例をいくつか示そう。2004年6月、サンプルおよびその判定情報の共有での協働のために、業界に対するサービスとしてVirusTotalが設立された。このサービスは、現在、1日当たり約5億件のサンプル情報を共有するのに役立てられており、使用される製品は50以上に上り、業界の多くのベンダーにとってスレットインテリジェンスの重要な供給源となっている。
もうひとつの例としては、独立系テスト機関が創設されたことが挙げられる。謳われているような保護の機能がその製品に実際に備わっていることを保証することを委託業務としている。そうした業務を独立系機関に委ねることは合理的である。一般の消費者や企業には、未対応のマルウェアへの対処を行ったり、新たにエクスプロイトされたサイトを見つけたり、どのソリューションを購入するか決めるだけのために多種多様な製品をテストしたりする時間も資源も専門知識もないからだ。一部に、ユーザが自身でAVテストを実施するよう勧めている「次世代型」ベンダーがいるのには驚かされる。ともあれ、2008年、まさにこのようなことを促進するために、マルウェア対策製品のテスト標準化団体「Anti-Malware Testing Standards Organization(AMTSO™)」が設立された。
このような協調の精神は一朝一夕に出来上がったわけではない。ゆっくりと少しずつ醸成されたものである。以前は、サイバーセキュリティ企業の間には、もっと激しい競争や対立があった。
Virus Totalを敵に回す方法
ところが、数年前に状況は変わった。「次世代型」ベンダーの多くは、コミュニティに加わることなく、まったく別の道を進んだ(明確化するために言うと、ここで言っているのは「次世代型エンドポイントセキュリティ」または「アンチウィルス」のベンダーについてであり、EDR(エンドポイント検出/対応)ないしは侵害検出製品のベンダーではない)。「次世代型」ベンダーが始めたのは、既存のセキュリティベンダーの製品の評判を落とそうとするマーケティングキャンペーンであり、既存ベンダーの製品は「シグニチャのみ」に依存した技術をベースにしているというイメージを植え付けようとした。
こうした議論を展開するときに「次世代型」ベンダーがいつも論拠とする「データ」には問題点がある。そのデータは、「次世代型」ベンダーの技術スタック全体と、既存ベンダーのVirusTotalでの検査結果(静的ファイルスキャン機能をテストするのみ)との比較を基にしたものだからだ。こうしたキャンペーンを知った後、Virus Totalがデータ使用に関するポリシーを変更したにもかかわらず、「次世代型」ベンダーはまだそうしたデータを論拠にし続けている。だから、挑発的であることは間違いない。
Big AVの陰謀の世界へようこそ
「次世代型」ベンダーをそのような方向へ導いたものは何なのだろうか。一部の「次世代型」ベンダーは、彼らが呼ぶところの「Big AV(巨大AVベンダー)」が支配している業界では、まともに競争することなどできないと主張しているようだ。秘密結社イルミナティの話と似ていて、老舗の情報セキュリティ企業たちで作る影の秘密結社が業界を支配していて、「次世代型」ベンダーを潰すべく動いているのだそうだ。
昨年の「Big AV」の年次総会の様子。私は右側に写っている
(画像の出典元: http://yournewswire.com/)。
疑わしいときはQAのせいにすればよい
つい最近、「次世代型」ベンダーは、その誤ったマーケティング攻撃の矛先を独立系AVテスト業界に向けるようになってきた。独立系AVテスト業界は信用できない、偏向している、報酬をもらってテストを行っている、などといろいろ主張を行っている。
独立系テストの技法が完璧ではなく、おそらく、周りの技術や脅威のランドスケープの進歩のスピードに付いていけていないという見方に異論はない。独立系テスト機関が実施するテストにおいて、我々の製品に備わるすべての技術が対象とされるわけではない。けれども、AVテスト業界が、特定の製品やベンダーに有利になるように操作されるなどということは決してない。
我々が独立系テスト機関を利用する際の主な目的は、我々の製品や技術に対する価値ある品質保証データを得ることにある。テスト機関は、最良のエンドポイント防護技術を破るために、流行っているまさに最新の脅威を探すべく設計された複雑なインフラを構築し、維持している。我々は毎月、テスト機関で数多くのプライベートなテストを実施しており、そうしたテストから得たデータを、常に技術やサービスの向上に役立てている。これらの機関は、我々の製品を良い製品だと認めてもらうために存在しているのではない。そう認めてもらうための存在だとしたら、そのサービスを利用することにほとんど価値はないだろう。
パブリック、プライベートを問わず、独立系テストに参加しようとしない「次世代型」ベンダーは多い。なかには、独立系テスト機関に製品を評価されることを避けようといろいろと画策するベンダーもいる。特に、テストラボによって製品が購入されることを嫌がり、テストラボが匿名で購入したことが知れると、あるいはそう疑うと、返金もせずに、ライセンスキーを取り消すベンダーもあるようだ。そのような動きについては、十分に裏が取れている。
代わりにやってもらえるのに、どうして自分でやるのか
以前の記事で、「従来型AV」対「次世代型」という図式は、「次世代型」ベンダーのマーケティング部門が造り出したものだと述べた。そして、その経緯はこういうことだ。多くの「次世代型」ベンダーは、独立系セキュリティ企業であれば必要となる技術やインフラに対して投資を行う代わりに、それらの多くをサードパーティ(彼らが「従来型AV」と呼んでいるまさにその企業)に外部委託している。外部委託には、サードパーティからの判定(ご推察の通り「従来型AV」製品によって生成される)に関する技術供与や、自身のバックエンドインフラで競合製品を実行することを含むものさえある。
当社では、毎日、約500,000件の新たなサンプルを目にしており、それらのサンプルを分析および分類するために、インフラ、ストレージ、およびオートメーションに多額の投資を行ってきた。そうしたインフラを構築し、改良するのに十数年をかけてきた。このようなインフラと、バックエンドシステム、サンプル分析オートメーション、サンプルのストレージおよび分類に対して絶え間なく行ってきた改良がなかったら、脅威のランドスケープの先回りをすることはとてもできないだろう。技術は大事だが、その技術の強さは供給されるルール、ロジック、サンプル、およびメタデータによって決まる。そしてそれは、適切な入力が提供されることに大いに依存する。そして、そうした入力は、どこかから持ってこられる必要がある。
ベンチャーキャピタルはマーケティングに多くを投資する
適切なデータの収集およびインフラへの投資を切り詰めることで浮かせた資金は、そっくり「次世代型」ベンダーのマーケティング部門に投入される。「次世代型」ベンダーは、こうした巨大なベンチャーキャピタルに後援されたマーケティング予算を使って、「従来型AV」対「次世代型」ベンダーという図式の爆弾をマスコミにばらまき、既存のAV製品は「シグニチャのみ」という歪曲されたイメージを植え付け、独立系テスト機関の悪い評判をマスコミ上に広めてきた。もしかしたら今も、我々がまだ知らない新たな宣伝活動に勤しんでいるのかもしれない。
「次世代型」という用語が、すでにこの業界で広く用いられるようになってしまっていることは指摘しておかねばならない。これは残念なことである。明らかに偏見に基づいた用語だからだ。「次世代型」というのは、より新しく、より良いものを意味するものだが、真実からほど遠い概念になってしまっている。より正確で偏りのない用語を選ぶとしたら、「アンチウイルススタートアップ企業」くらいでどうだろう。
どのような仕組みで保護されているのかを知りたいとしたら、ほとんどの「次世代型」製品では、どのように機能しているか理解するのに苦労させられることになる。彼らのブログの投稿記事やホワイトペーパーは、大部分がマーケティングバズワードの羅列である。多くの場合、彼らの製品は把握するのが難しい。普通にライセンスを購入してインストーラをダウンロードすることができないのだ。それは知的財産が盗まれないようにするためだと彼らは主張する。それを表すよい言葉がある。すなわち、「隠すことによるセキュリティ(security through obscurity)」だ。
10年前のアイデアが「次世代型」とは、これいかに
実のところ、エンドポイント保護ソリューションは、どれもよく似たアプローチを使用している(繰り返しになるが、ここで比較しているのはすべてエンドポイント保護製品であり、侵害検出ソリューションではない。まったく別物だからだ)。製品によって、重きを置いている技術や戦略にはそれぞれ違いがある。そして、「次世代型」と称されている技術は、少なくとも10年前からあったものであり、元々は「従来型AV」ベンダーが考案、開発したものである。ただ、「次世代型」ベンダーはそれぞれのやり方でそうした技術を応用しており、その点については良い仕事を行っていると言えるのだろう。たぶん、彼らの論理からすると、我々はすべて「次世代型」なのかもしれない。
結局のところは、「次世代型」であろうとなかろうと、これらの製品はエンドポイントシステムを悪意のある攻撃から保護するために作られたものである。そして、それは素晴らしいことである。競争も良いことだ。技術革新も良いことである。古くからある問題に新たな角度から取り組むことも、いつでも大歓迎だ。たくさんの新たなプレーヤーが現れることも、業界にとって喜ばしいことである。そして、脅威が存在していること、保護が必要であることを一般に知らせるという点で、彼らは大きな貢献をしている。特に、サイバー犯罪が増加し、標的型攻撃がますます広範囲に及ぶようになっている昨今ではその働きは大きいと言える。
どうして「次世代型」ベンダーが業界に喧嘩を売るところから始めようとしたのかはわからない。Kevin Townsend(ケビン・タウンゼンド)氏が指摘するように、このような言い争いを弱みとみなしているCISO(最高情報セキュリティ責任者)は多いようだ(だから、ターゲットユーザに対するマーケティングとしては逆効果かもしれない)。理由はどうであれ、物事を改めるのに遅過ぎるということはない。テーブルを囲んでビールでも飲みながら、アイデアを出し合い、データを共有し合って、どのようにしたら誰にとってもより安心で、よりセキュアにするために協力し合えるのかについて語り合うことができたらよいのに、と私は思う。
こうした思いには、ご賛同いただけるだろうか、いただけないだろうか。Twitterにてご意見をお聞かせ願いたい。
カテゴリ