アプリの改ざんを防ぐ Arxan が新しい製品と機能を投入
不正侵入の試みを事前に検知して通知可能に

Arxan Technologies - Aaron Lint インタビュー

Slider

アプリの改ざんを防止する製品群を開発・提供するArxan Technologies, Inc.(本社カリフォルニア州サンフランシスコ)では、日々新たな機能と製品を市場に投入している。同社のChief ScientistであるAaron Lint氏に、最新の情報をお聞きした。

arxan interview

貴社が最近新たに投入した製品と機能について教えてください。


1つの製品と2つの機能を新たに提供しました。まず「Arxan for Web」という新製品です。
次に「Essential Protection」と呼ぶ機能です。最小限の労力で新しいアプリを保護できま す。ご存じのようにセキュリティは多くの場合舞台裏で使われるもので、期限と予算を確実に守るにはバックシートが必要です。そのため、われわれはお客様がセキュリティのベースラインを実装し、ソフトウエア開発ライフサイクルの一部としてそのセキュリティを素早く繰り返し改善する作業を、もっと簡単にしたいと思いました。

もう一つの新機能は、「Arxan Threat Analytics」という進化し続ける脅威分析機能です。これは保護されたアプリが信頼性のないエンドポイント上で実行される場合に、そのアプリに対して実際にどんなイベントが起きているかを企業に伝える機能です。Arxanのラインアップには、iOSと Androidに対応する「Arxan for Mobile」と、Windows、Linux、Macなどの 通常のデスクトップ用の「Arxan for Desktop」、サーバプラットフォーム用の「Arxan for Server」がありました。新しいArxan for Webはブラウザ内のWebサイトだけでなく、Webテクノロジーを使用するハイブリッドモバイルアプリやHTML5モバイルアプリも保護します。

Arxan for Webはどんな産業にフォーカスしているのでしょう。eコマースですか?


本質的には任意のWebサイト、つまりサイトに含まれているビジネスロジックの情報を外部に流出させたくないというサイトならば、何でも対象になります。「magecart」攻撃をご存じでしょうか?これはサプライチェーンを攻撃したことでかなり広まったWebサイト攻撃です。多数のeコマースサイトで使われたあるライブラリの中に組み込まれたもので、顧客が入力する信用情報を盗んで(スキミングして)アタッカーに送れるというものでした。ブラウザの内側でこれらの脅威を防ぐ、または少なくとも検知しなければ、企業の収益とブランドを大きく毀損する可能性があります。

あなたの最初の質問への答えは、イエスです。eコマースはユーザーがブラウザに機密性の高い情報を入力することがある場所の一例です。銀行、ペイメント、ヘルスケアなど、個人を特定する保護すべき情報があるサイトなら当社のWeb保護 ソリューションが非常に適します。金融サービスとペイメントを併せて、5つの分野にフォーカスしているところです。例えばコネクテッドヘルスケア、つまり攻撃者がそのデバイスを制御または操作することができれば患者が非常に危険になる、直接身体に装着する医療機器を提供している企業にフォーカスしています。

医療機器というと、例えばペースメーカーのようなものを提供している企業ですか?


そうです。ご存知かもしれませんが、実際にIoT関係者がラスベガスで毎年開催する会議では、ペースメーカーと、糖尿病患者のためのインスリンポンプの(攻撃)例がたくさんありました。攻撃者がこれらのデバイスを乗っ取れるなら、相手にひどい実害を与える危険性があります。今当社の製品はデバイス自体の中に導入されてはいませんが、各デバイスと対話するアプリを保護しています。さらに自動車メーカーです。例えば携帯電話で車のロックを解除できたり…こうしたアプリにセキュリティの欠陥があると、車を盗まれる可能性があります。運転中も影響がないように、保護することが非常に重要です。

それから、もう少し規模は小さいが重要な業界の1つはゲーミングです。パブリッシャーは彼らのお金と収益が盗まれないことを担保できます。そしてデジタルとストリーミングメディアです。ストリーミングビデオサービスのように、権利保護が必要なコンテンツを持っている業界は、われわれの最大の活躍場所です。

さらにわれわれは個々のソフトウエアベンダーとも取り引きをしています。信頼できない環境に企業がソフトウエアを展開したい場合、付与されたライセンスの範囲外でそのソフトウエアが使われないようにします。例えば CAD/CAMソフトのような、提供企業にとって非常に重要な知的財産をコードに組み込んだソフトについて、リバースエンジニアリングできないようにする保護機能を提供しています。

arxan interview

他の分野での事例も教えてもらえませんか?


分かりました。当社の最大の成長分野は金融、特に銀行です。モバイルアプリの保護ソリューションのビジネスが急 Digital StacksサンフランシスコにあるArxan本社オフィスの様子。 Digital Stacks Service Catalog / 8 成長しています。既に当社の防御が、いくつかの企業の保険数理表を、よりリスクを受け入れられるように変えつつあります。銀行が公開する新しいアプリや機能には常に予想外の詐欺行為が発生するため、そのリスクを想定するわけですが、当社のソリューションを使えば、以前よりもはるかにモバイルアプリを信頼できるようになります。そこで以前よりもっと頻繁に、顧客に利益をもたらす新機能を展開できます。さらに私たちは、アプリやWebサイトを全面的に保護するだけでなく「脅威分析」を実現します。つまり攻撃者がモバイルアプリやWebサイトで不正を試みる行為を、よりプロアクティブな方法で知らせ、すぐに対応できるようにします。当社の多くの脅威分析のお客様は、「容疑モデル」というものを構築しています。これによって危険な行動のパターンを検知できます。例えば「あ、この人はジェイルブレークされた機器でアプリを使っている」と分かります。ジェイルブレークされ たデバイスは信頼できないので、例えばアプリで大金を送金することを許可するべきではありません。分かりました。当社の最大の成長分野は金融、特に銀行です。モバイルアプリの保護ソリューションのビジネスが急Digital StacksサンフランシスコにあるArxan本社オフィスの様子。Digital Stacks Service Catalog / 8 成長しています。既に当社の防御が、いくつかの企業の保 険数理表を、よりリスクを受け入れられるように変えつつあ ります。銀行が公開する新しいアプリや機能には常に予想外の詐欺行為が発生するため、そのリスクを想定するわけですが、当社のソリューションを使えば、以前よりもはるかにモバイルアプリを信頼できるようになります。そこで以前よりもっと頻繁に、顧客に利益をもたらす新機能を展開できます。さらに私たちは、アプリやWebサイトを全面的に保護するだけでなく「脅威分析」を実現します。つまり攻撃者がモバイルアプリやWebサイトで不正を試みる行為を、よりプロアクティブな方法で知らせ、すぐに対応できるようにします。当社の多くの脅威分析のお客様は、「容疑モデル」というものを構築しています。これによって危険な行動のパターンを検知できます。例えば「あ、この人はジェイルブレークされた機器でアプリを使っている」と分かります。ジェイルブレークされたデバイスは信頼できないので、例えばアプリで大金を送金することを許可するべきではありません。

悪い行為と認識されるようなミスをうっかり犯すこともあると思います。そうした誤検知はどう防いでいるのでしょう?


脅威分析の機能の一つは、過去の振る舞いを流れで見られるようにすることです。ある銀行を長い間頻繁に利用しているお客様がいて、その人が何か新たに奇妙なことをしようとした場合は、この人の過去の振る舞いのパターンにはその行動がないことから、ある程度のリスクがあると知ることができます。

一方で、利用し始めてから数日しか経っておらず、時間的に長い行動パターンがないというお客様もいるでしょう。何が正常か分からないですし、彼らが危険なことをするかどうかも分かりません。脅威分析はこういう場合でも状況に応じて決定を下せるように、その行動の意味を解釈できます。「感染したデバイスで 実行していますか」とか「アプリをデバッグしようとしています か」、「アプリにパッチを適用していますか」とか、攻撃者がアプリを攻撃しようとしている可能性をさまざまなやり方で確認し、リスクを評価できます。 Digital Stacks Digital Stacks Service Catalog / 9 もちろんたいていの企業はファイアウォールかWebアプリファイアウォールを設置しており、何が起こっているのかを知ることができます。

でもわれわれは、ネットワークで送受信されるものだけでなく、スマホの上で実際に行われていることを可視化します。データセンターの中やエッジで起きていることだけでなく、もう少し先の、アプリ全体で起きていることを可視化できるのです。エンドポイントで実際に何が起きているのかを確認して対応を決定することもできます。

顧客がこのテクノロジーを使用する場合、事前にモデルをトレーニングする必要がありますか?


ある部分では確かに、はい、トレーニングの期間が必要です。アプリをデプロイするとすぐに、イベントのストリームが戻ってきます。実際には、個々のユーザーが自分のアプリを使って いることが分かるだけでなく、新しい方法でユーザーベースを 確認できます。また、彼らのセキュリティ体制がどんなものかも分かります。そのため、ユーザーを危険のあるグループとないグループに分けて、ビジネス上の決定を下すことができます。例えば誰かがポリシーに違反している場合は、その人たちは自分どうアプリを使っているかをカスタマーサービス部に電話して説明する必要があると決めるとか、以前に私がお話したようなハイリスクなトランザクションが起きる前にアクセスを停止するといった決定ができます。

さらに我々は全脅威分析データを既存のリスク管理プラットフォームに組み込めるように、API で利用可能にしています。既存のSIEM(Security Information and Event Management)やBI((Business Intelligence)システムにも統合できますし、企業全体に渡るセキュリティイベント情報を相関させて分析することもできます。アプリ自体から見た全イベントが表示されるので、端から端までの全体像がわかります。ファイアウォールにアクセスするアプリから、あるいはRASP(Runtime Application Self Protection)を実装しているならそれを経由して、データベースと通信している場合がありますが、われわれはアプリで何が起こっているのかという情報を提供しているので、その相互作用を端から端まで見ることができます。

バックエンドと同様に、Arxanには脅威対策チームが活動しています。あるパターンの不正行為が発生していることが確認された場合、同じ異常や問題が起きていないかを全顧客に渡って調査します。現実のデータからは攻撃フレームワークとツールを発見できますし、それがどう機能するのかが分かれば、どうすれば防げるかも分かります。

不正行為のトレンドについても把握できるのですね?


はい。われわれに保護製品の全体を長期間観察できます。さらに、当社の製品はアプリと一緒に配置されて、すべてのコンテキストを把握する小さなセンサーです。だから「攻撃者が私がいるアプリのこの機能を攻撃しようとしています」と通知できるのです。

また、即時のフィードバックを受けられるだけでなく、自分の DevOpsサイクルやDevSecOpsサイクルの一部にそのフィードバックを入れることもできます。そのフィードバックを受けて再配備することで、頻繁に攻撃を受けている部分の保護をシンプルに強化したり、セキュリティと性能のバランス をとるため他の部分との兼ね合いで保護の強度を調整するといったこともできます。

DevOpsまたはDevSecOpsサイクルの一環にフィードバックループを組み込むことで、アプリの中で実際に危険にさらされている部分を中心にして、非常にきれいにそして厳密に保護を調整できるのです。

Inside Arxan