CMC Markets が採用しているゼロデイ攻撃緩和策

金融サービス、小売、ゲームなどの要素を持つビジネスを展開する企業では、社内リソースとサードパーティのソリューションを組み合わせたアジャイルなセキュリティアプローチが必要になります。オンライントレーディングのサービスを提供する企業、CMC Markets も例外ではありません。

先日、Akamai は、CMC Markets でセキュリティ責任者を務める Philip Yeo 氏とお話しする機会をいただきました。Yeo 氏はその中で、同社がどのようにして、継続的な監視と、 ゼロデイ 攻撃を受けた際の迅速な対応を組み合わせてセキュリティを確保しているかについて語っています。 

また、同社のビジネスを保護するうえで Akamai が果たす役割、そして継続的に生じる ゼロデイ攻撃の脅威に規制当局や保険会社がどのように対応しているかについてもお話しいただきました。  

その会話の全文を以下に掲載します。

Natalie Billingham： 本日は CMC Markets でセキュリティ責任者を務める Phil Yeo さんにお越しいただきました。Phil さん、普段どのようなお仕事をされているか、簡単に自己紹介をしていただけますか。

Philip Yeo： はい、ありがとうございます。私は CMC Markets でセキュリティ責任者を務めています。当社は、世界中のお客様向けにオンライントレーディングのサービスを提供している会社です。セキュリティ面では小売企業に似ている部分があります。といいますのは、当社のサービスには、多種多様なデバイスから非常に多くのエンドユーザーがアクセスするからです。金融サービス企業のように厳しい規制が課されているため、FinTech 企業の要素もあります。さらに、ユーザーとのやり取りの多くでは非常に厳しい時間的制約が課されるため、その意味ではゲーム会社の要素もあります。接続が不意に切断されるようでは、お客様に満足のいくサービスを提供することはできません。 

NB： Akamai をご利用になったきっかけをお聞かせください。

PY： CMC Markets は長年にわたり、英国で自社のテクノロジー、プラットフォーム、製品を開発してきました。今ではアジア、ヨーロッパ、オーストラリア、カナダなど、多くの国にお客様がいます。お客様はリアルタイムでの価格のストリーミングやチャートの提供、そしてデイトレードの機能を求めておられます。そのため、接続の品質や全体としてのパフォーマンスが当社のビジネスにとって非常に重要です。

当初は別のベンダーの CDN を導入していたのですが、優れた成果をあげることができませんでした。しかし、その経験から、当社自身でエッジネットワークを維持管理する必要はないことを学びました。Akamai が候補として挙がったのは、当社が WAF テクノロジーを構築していたときです。対処すべき課題として、DDoS と DNS の脆弱性もありました。Akamai について調査してみると、コンテンツ配信プラットフォーム、データセンター、DDoS 防御、Site Shield、WAF をマネージドサービスとして提供していることがわかりました。それを知り、ほぼ即決しました。

まずは、英国とオーストラリアの市場でいくつかの製品の保護に集中的に取り組みました。しかし、Akamai と契約して素晴らしかったのは、いったん難しい部分に対処できれば、Akamai のセキュリティレイヤーがすべて保護してくれる点です。インターネットや一般ユーザーに面したすべてを Akamai のネットワークに配置することをデフォルトのポリシーにしました。 

以前よりも一貫性のあるパフォーマンスを手にできたため、Web、マーケティング、SEO の担当者は Akamai の導入に満足し、社内ユーザーからのクレームも減りました。社内のセキュリティという観点からはこの点がとてもよかったと感じています。マーケティングや製品の担当者がセキュリティについて満足できれば、それは大きな成果と言えます。  

Akamai のマネージドサービスも役立ちました。Akamai とは毎月、調整作業を行いましたが、当社のリスクプロファイルについて十分に理解したうえで作業を進めていただきました。特にフォールス・ポジティブ（誤検知）の回避にあたって適切な調整を実現できました。高い価値を生み出す正規のお客様をブロックしてしまうと、当社にとっては大きな問題となるからです。 

NB： 金融業界が直面するサイバーセキュリティの課題には、他にどのようなものがあるのでしょうか。

PY： リスクとなるものはたくさんあります。ランサムウェアの脅威は看過できません。従業員にはフィッシングの被害にあわないように注意を呼び掛けるとともに、マルウェアが環境に侵入することがないように対策も講じています。規制による圧力も常に感じていますし、監査体制も緩めることができません。 

NB： 金融サービス業界では、特にセキュリティについて厳しい要件が求められると思います。御社ではどのように対処されているのでしょうか。機密事項に触れずに説明いただくことはできますか。 

PY： ゼロトラストという考え方が非常に有用だと考えています。何らかの特権アクセス管理の仕組みを展開しようかとも考えましたが、作業量が多く、複数のソリューションを組み合わせなければ実現できないことがわかりました。実際のところ、これといった特効薬はありません。ご存じの方がおられたら教えていただきたいくらいです。

当社には、社内開発を行い、オンプレミスのデータセンターを管理してきた長年の経験があり、この点はプラスに働くと考えています。しかし、クラウドテクノロジーによる変革を進め、さまざまな業務部門がすさまじいスピードで多くの製品を提供するようになっており、これまでとは違ったセキュリティの課題も浮かび上がっています。  

このような状況で優れたセキュリティを実現するためにはどのようなテクノロジーが必要になるのか、そして開発ライフサイクルのスピードを落とすことなくセキュリティを実現するためにはどうすればよいかを考える必要があります。たとえば、さまざまな自動コンプライアンスの仕組みを用意することで、デリバリーパイプライン全体でガバナンスとセキュリティのポリシーを適用できます。その上で、Akamai の WAF Edge プラットフォームによる保護を組み込むことができます。 

NB： 常にさまざまな事柄を考慮しなければなりませんね。特に御社のように多くの市場やビジネスの要素をお持ちであれば、考慮すべき事柄が非常に多くなるでしょう。御社は金融サービス業界の企業ですが、先ほどのお話にもあったようにゲーム会社の要素もあります。多くのアクセスが集中するイベントや顧客の活動が急増する場合にどのように対処しておられますか。  

PY： オンラインサービスは、利用したいときに利用できなければ、お客様は離れてしまいます。そのため、キャパシティについては優先的に取り組んできました。優秀なスタッフがキャパシティを監視し、1 日で最も多くのトラフィックが集中する瞬間はいつか、トレードのレイテンシーはどの程度か、必要なキャパシティはどのくらいかを常に判断しています。キャパシティについて多くのモデリングを行いながら、CDN や DDoS 防御については外部のサポートも受けるようにしました。

NB： スタッフについてお話がありました。セキュリティの分野で問題となっているのは、セキュリティに関する優秀な人材がなかなか見つからないことです。Akamai を導入することで、社内のリソースをセキュリティではなく、優先度の高いプロジェクトに集中させることができたのでしょうか。

PY： 以前は別のプロバイダーを利用していたのですが、そのときに問題となったのは、すべてのアプリケーションのポリシーを誰が管理するかということでした。当時は、自社で管理できると考えていました。しかし、いざ開発チームがこれらのポリシーを管理できるか検討してみると、現実的ではないことがわかりました。それが転換点となり、マネージドサービスである Kona Site Defender を利用することになったのです。これにより、自社で細かなポリシーの調整作業に追われることがなくなりました。 

上司とともに、何年にもわたり、アウトソーシングサービスやマネージドサービスを提供するさまざまなプロバイダーを検討しました。他の会社を信頼してセキュリティを任せるわけですから、最適なパートナーを見つける必要があります。 

アウトソーシングやサービスプロバイダーとのパートナーシップによってメリットを得られる分野を特定したいと考えていますが、その場合でも、迅速な対応を維持するために、自社でコントロールできなくなるという状況は避ける必要があります。問題があれば、すぐに電話をかけて対応する必要があります。

NB： 同じ話を他のお客様からもよくお聞きします。しっかりコントロールしつつ、迅速にサービスを提供し、顧客と親密な関係を築きたいと考えておられます。しかしそれと同時に、企業としてアジリティや実行能力も高めたいとお考えです。セキュリティスタックの複雑化や専門化が進み、信頼できるパートナーシップの重要性はますます高まっています。

PY： そのとおりですね。アウトソーシングにおいては他にもいくつかの検討を行いましたが、パートナーシップの重要性に気付かされました。当社としては、必要に応じていつでも上書き、展開、ロールバックできることが重要です。これらを自由に行えなければ、安心して運用することができません。一方で、すべての製品のセキュリティスタックの深い部分まで理解するスキルは持ち合わせていません。そこでパートナーシップが重要となるのです。 

NB： 素晴らしいアドバイスだと思います。たとえばここに Akamai をご利用のお客様がおられるとして、Akamai や、あるいは他のどのようなプロバイダーの場合でもそのような信頼を築くために何が必要となるでしょうか。 

PY： Akamai にはグローバル規模での信頼性があります。Akamai では昨年インシデントが発生しましたね。当社にも少し影響がありましたが、Akamai は責任を持って対処し、インシデント後には報告を行い、全体として透明性の高い対応をされました。今ではしっかり対策がとられており、インシデント対応への真剣な取り組みを示されていると思います。顧客の立場に立った対応だと感じました。

NB： セキュリティのサプライヤーの状況全般について考えた場合、特に重視しておられることはありますか。

PY： 私は情報セキュリティの仕事に 15 年携わっているのですが、明らかに真実ではないセールストークを繰り広げるサプライヤーもあります。100% 保護し、誤検知をゼロに抑えることは、現実的にはできません。そのようなことを主張するベンダーと契約してもメリットはないでしょう。提供できると謳ったサービスの根拠をしっかりと示し、実際に試して評価できる、そのようなベンダーが必要です。

NB： 自社のビジネスにとって最適なサービスを提供するサプライヤーを選ぶことが重要ですよね。これに関してアドバイスをいただきたいのですが、ここ数年はさまざまな面でこれまでとは異なる状況だったと思います。どのようなことを学ばれましたか。同じような状況にある他の企業にアドバイスを贈るとすれば、どのようなことになるでしょうか。

PY： すでにご存じのことばかりだと思いますが、インシデント対応のペースが速くなっています。ある保険ブローカーの方と現状について話す機会があったのですが、規制当局が求めていることと、セキュリティ標準が求めていることが異なっているように感じたのが面白かったです。ランサムウェア攻撃を受けても、保険会社が支払ってくれますし、それを前提として対策を行うのが当たり前になっていますね。保険会社の方は、彼らが求めるセキュリティ対策について私たちに的確に質問をしますので、それに応じた対策が必要になります。 

その方から聞いたことですが、ネットワークが侵害されてから、実際に被害が出るまでの時間が大幅に短くなっているとのことです。対応のペースを速める必要があります。 

侵入が試みられたら、できるだけ早く検知しなければなりません。適切な時間内に対応できなければ、被害が生じます。被害を食い止めることが可能な時間の猶予は、ますます短くなっています。

優秀な情報セキュリティの専門家が集まる大きなコミュニティーの知恵を借りるとよいでしょう。Twitter も役立つことがあります。最初に被害を受けたのは誰か、攻撃の手口は解明できたか、攻撃を防ぐためのルールは作成されたか、そのルールを自社でも展開できるかなどの情報をいち早く手にすることができます。そのような作業に手間どった良い例が Log4j でしょう。しかし当社は Akamai WAF を導入しており、電話ですぐに相談することができましたので、余裕を持って対処することができました。

NB： そのような作業を実際に行うのは大変ですよね。特にランサムウェアにおいては素早く対応することが重要です。対応する時間がますます短くなる中で、保険会社が求める対策を行わなければならないのですから大変です。

PY： パンデミックのさなかには、皆が多くの時間を対応に割くことになりました。朝早く起きて一日中対応に追われるうちに、「待てよ、このように時間に追われるのは人間的な要素もあるのではないか」と気付き始めたのです。当社では、常に警戒を怠らず、何か起こればすぐに対応できるようチームを編成しています。しかし、スタッフが燃え尽きてしまわないための対策も必要になります。

NB： どのような対策をとられているのですか。

PY： 経営陣と継続して話し合いの場を設けています。彼らにはこのように話しています。「少人数の非常に優秀なスタッフだけで、いったいどの程度の被害を寸前で食い止めることができるでしょうか」と。多くのスタッフの力を合わせて、スキルを磨いて開発し、指導を行い、お互いから学ぶことが必要になります。 

NB： それはもっともです。今後についてどのような見通しをお持ちですか。

PY： 基本的なミスがまだ発生しています。誰でも Web 開発者になれるような状況ですから、30 年前に発生していたミスが今でも発生しています。ハイエンド領域の開発作業はますます難しく、複雑になっていますね。 

サイバー領域における保険やセキュリティについてお話ししていますが、現実世界に置き換えた場合、「なぜ強盗のやりたい放題なのか、やられっぱなしで何もできない状況なのはどうしてか」と不思議に感じる方もいるかもしれません。しかし、この状況を改善する方向で取り組みを進めている政府はありませんね。むしろ多くのテクノロジー企業が安全な環境作りをリードしているのは興味深い点です。ただし、テクノロジー企業が規制を定める状況でよいのか、検討の余地はあると思います。 

NB： そうですね、公的な政策決定のさまざまな取り組みが進んでいます。EU、英国、米国でも規制の内容が異なります。特に、ウクライナで戦争が起きている今、興味深い分野であることは間違いありません。今後使用を検討されているテクノロジーはありますか。

PY： どこに目を向けるかによります。完全に一から立ち上げるプロジェクトがあるとすれば、これまでとはまったく異なるテクノロジーを使用してプロジェクトを進めるでしょう。ゼロトラスト、特にマイクロセグメンテーションに非常に関心があります。サーバーレスワークロードで実現できることについても関心がありますね。

NB： 皆様の中で Phil さんに質問のある方はおられますか。 

観客： 自動化と人工知能について伺います。自動化を進めることについてどのようにお感じですか。セキュリティ環境にどの程度取り込むことができるとお考えでしょうか。

PY： それらについては、必要があれば積極的に取り込みたいと考えています。現在、数学的な近似を導き出すヒューリスティック機械学習モデルについて検討しているところです。使用するテクノロジーについて十分理解するとともに、テクノロジーを適用する分野について深い知識を持っていれば、それらのテクノロジーを適用するのが適切かどうか判断できます。状況に応じて変わるでしょう。厳格なルールが必要な場合もありますし、より複雑なルールが必要な場合もあります。パターンマッチングが適している状況もあるでしょうし、適さない状況もあります。 

社内で使用する機械学習モデルは、当社のビジネス独自のものです。しかし、それを深く理解してトレーニングできるようなベンダーを探しています。現在は何時間もかけて異常を探す作業を行っていますが、そのようなサポートがあれば、障害の防止やキャパシティに大きく役立つと考えています。 

ある同僚が、異常を検知するための監視ツールを数多く構築しましたが、それらのツールを適切に動作させるために、よく言われるような機械学習モデルは必要ありませんでした。機械学習のメリットについては誇張されている部分もあると感じています。ですが、一般論として、機械学習を使用したサービスの導入については、必要があれば積極的に検討したいと考えています。  

観客： 危機的な状況において、Twitter を使用してコミュニケーションをとるというお話がありました。そのようなコミュニティーの重要性について、今後どうなるとお考えでしょうか。Akamai などのベンダーにとっては、どのような役割を果たすでしょうか。

PY： Twitter は素晴らしいツールです。私自身は特に目立った活動はしていませんが、このようなチャネルを通して知人とコミュニケーションをとっています。悪意を持って一連の攻撃が行われたような場合に、コミュニティーで情報を共有できることは素晴らしいと考えています。もちろんベンダーはベンダーで、情報を取りまとめてくれます。多くの優れたセキュリティアナリストもいます。彼らは状況を正確に把握しています。問題を解決できた経験を持つ方がいれば、誰であれその方から学びたいと思います。当社の立場からは、コミュニティーに有益な情報があれば、共有したいと考えています。

NB： Phil さん、本日はお時間をいただきありがとうございました。 

PY： ありがとうございました。