イノベーションは真の顧客の問題を解決するものでなくてはならない

Mark Gentile氏は著名なエンジニアであり、シマンテックエンタープライズ事業部のチーフアーキテクトの一人として、シマンテックのさまざまなセキュリティソリューションをサポートするアーキテクチャを作成しています。氏は、2012年にシマンテックが買収したモバイルデバイス管理およびセキュリティ企業、Odyssey Softwareの創設者兼CEOでもあります。

Odyssey Softwareがシマンテックに買収されたとき、状況はどのように変化しましたか？

私は根っからのエンジニアなので、シマンテックになったときも、好きな仕事に戻りたいという気持ちでした。製品のエンジニアリングやイノベーションが好きだったのですが、機会に恵まれ、数多くの優秀な方々と一緒に好きな仕事に携わることができたと思っています。シマンテックのエンジニアリング部門の方々は皆熱意に溢れ、知識も豊富で感銘を受けました。そんな方々のそばで一緒に仕事をすることができたことが嬉しくて、お客様を攻撃者から守る製品、テクノロジー、ソリューションを構築するという使命は、私にとってとても大切でした。

Broadcom買収後、シマンテックはどのようにイノベーションに注力してきたのでしょうか？

以前の組織構造は、真のビジョンや可能性を実現する能力をサポートするものではありませんでした。Broadcomの買収前は、エンドポイントセキュリティ、情報セキュリティ、ネットワークセキュリティを担うリーダーがそれぞれにいました。共通の優先順位や連携がなかったので、あるグループにとって重要なことが、別のグループにとってはそれほど重要でなかったかもしれません。 

現在では、部門のゼネラルマネージャが単独ですべて管理するようになり、エンジニアリングのエグゼクティブ、製品管理のエグゼクティブと一緒に、ビジョンの実現と達成に取り組んでいます。たとえば、当社には、設定可能な機能ブレードを備えた単一エージェントで幅広い製品ポーフォリオをサポートできるようにするというビジョンが常にあります。Broadcomの買収以降、このビジョンの実現に着手し、その後の各エージェントリリースで拡大や機能拡張を継続的に行ってきました。これは、経営陣の変革をなくして実現できることではありません。その変革があったからこそ、ビジョンの実現を遂行することができるのです。

これまで携わってきたイノベーションの例をいくつか挙げてください。

挙げるとすればAdaptive Protection（適応型保護）、Adaptive Isolation（適応型隔離）、IPS、Threat Defense for Active Directory（TDAD）でしょうか。

適応型保護は、環境寄生型（LOTL）攻撃の手法を用いた攻撃の大幅な増加を追跡したことから生まれたものです。つまり、攻撃者は、オペレーティングシステムの機能やインストールされているアプリケーションなど、既存のツールやソフトウェア（いわゆる「環境」）から標的にするシステムを探索します。やがて、探索したシステムを活用して攻撃を実行します。アーティファクトを残すことはあまりありません。このことから「環境に寄生する」と言われています。攻撃は、アクティブコンテンツ（マクロ）を含むドキュメントやアプリケーションショートカットファイルが添付されたフィッシングメールから始まるのが一般的です。ドキュメントの場合、攻撃者はドキュメント内のアクティブコンテンツを使用して、さまざまなツールやOS機能を実行したり紐づけたりして、高度にオーケストレーションされたLOTL攻撃を実行します。攻撃者が利用するツールやOS機能の多くは、お客様の環境で使用されることはあまりありません。しかし、攻撃者にとってはオープンな「ドアとウインドウ」として機能します。当社としては、使用されていない「適切な」ドアとウインドウを自動的にロックする方法をお客様に周知して、お客様の組織を保護する必要がありました。これを実現するのが適応型保護です。

当社のIPSテクノロジーでは、エンドポイントスタック上で直接ネットワークを保護します。IPSでは、インバウンドおよびアウトバウンドのネットワーク振る舞いやコンテンツを調べて、悪意のあるアクティビティを検知します。多くの場合、この保護が発生するのは、ファイルがハードウェアに到達する前か、ファイルがすでにハード上にあり、コマンドやコントロールサーバーにアクセスしようとしているときです。

Threat Defense for Active Directory（TDAD）もまたゲームチェンジャーとなります。あらゆる標的型攻撃では、標的環境内での水平方向の動きが伴います。典型的な攻撃では、攻撃者は到達後すぐにActive Directory（AD）を活用して、標的の機器、ユーザー、リソースを探して環境内を探索しはじめます。Active Directoryはオープン仕様のデータベースで、環境に関する情報を大量に保持しています。ドメインに参加している機器の有効なユーザーであれば誰でも、ADに環境に関する情報を照会することができます。攻撃者は到達後、この情報を活用して最も関心のある標的を見つけると、標的に向かって水平方向に移動して攻撃を進めようとします。シマンテックのTDADが使用する手法は革新的で、悪意のある目的でADを利用しようとすると、その攻撃者を欺いたり、識別したり、隔離したりすることができます。

フォローアップブログが必要であれば、詳しく説明させていただきます。

ありがとうございます。是非よろしくお願いします！シマンテックがイノベーションを促進するために行っていることは他にありますか？

2つあります。最優先事項と言えます。  

まず、イノベーションは実際の顧客の問題を解決するものでなくてはなりません。問題を把握するには、お客様との関係構築が非常に重要です。多くの場合、アーリーアダプターのお客様に対しては、テスト用コードを提供する前に、お客様にお会いすることにしています。当社の考えや、その理由を説明しています。たとえば、適応型保護の機能を構築したときは、事前にお客さまとお会いして詳しく説明しました。最も重要なのは何か、なぜ夜間にまで対応しなければならないのか、セキュリティに関する最大の課題などを伺う必要がありました。最適なソリューションは、お客様の声に耳を傾け、お客様と関わることで提供できるものなのです。

もう一つの最優先事項は、イノベーションを実行したり提供したりする方法です。イノベーションを加速させるためには、実環境での実験が必要です。さらに、お客様を混乱させることなく実際に現場で実験を行うには、綿密に制御された安全な方法で静かにコードをリリースできるようにする必要があります。これを実現するのが「機能フラグ」です。機能フラグを使用すると、選択したお客様（参加者）の機能をすばやく「オン」にしたり、反復したりすることができます。これにより、サイクルにかかる時間が短縮され、有効性、パフォーマンス、信頼性、失敗率などに関するフィードバックが得られるようになります。これらの指標を測定し、把握することが重要なのです。実行が静かに行われるので、ブロックも静かに行われます。実際にブロックできなくても、テレメトリを戻すので、きちんと解決するまで分析したり反復したりすることができます。