Arxan チーフサイエンティスト Aaron Lint インタビュー

アプリの改ざんを防ぐ Arxan が新しい製品と機能を投入
不正侵入の試みを事前に検知して通知可能に

Arxan Technologies - Aaron Lint インタビュー

Slider

アプリの改ざんを防止する製 品 群を開 発・提 供 する ARXAN TECHNOLOGIES, INC(本社カリフォルニア州サン フランシスコ)では、日々新たな機能と製品を市場に投入 している。同社の CHIEF SCIENTIST である AARON LINT 氏に、最新の情報をお聞きした。

arxan interview

貴社が最近 新たに投入した製品と機能について教えて ください。


1つの製品と2つの機能を新たに提供しました。まず「Arxan  for Web」という新製品です。次に「Essential Protection」 と呼ぶ機能です。最小限の労力で新しいアプリを保護できま す。ご存じのようにセキュリティは多くの場合舞台裏で使われ るもので、期限と予算を確実に守るにはバックシートが必要で す。そのため、われわれはお客様がセキュリティのベースライ ンを実装し、ソフトウエア開発ライフサイクルの一部としてそ のセキュリティを素早く繰り返し改善する作業を、もっと簡単 にしたいと思いました。

もう一つの新機能は、「Arxan Threat Analytics」という 進化し続ける脅威分析機能です。これは保護されたアプリが 信頼性のないエンドポイント上で実行される場合に、そのア プリに対して実際にどんなイベントが起きているかを企業に伝 える機能です。  Arxan のラインアップには、iOSと Android に対応する 「Arxan for Mobile」と、Windows、Linux、Mac などの 通常のデスクトップ用の「Arxan for Desktop」、サーバプ ラットフォーム用の「Arxan for Server」がありました。新し い Arxan for Web はブラウザ内のWebサイトだけでなく、 Web テクノロジーを使用するハイブリッドモバイルアプリや HTML 5モバイルアプリも保護します。

Arxan for Web はどんな産業にフォーカスしているので しょう。eコマースですか?


本質的には任意のWebサイト、つまりサイトに含まれてい るビジネスロジックの情報を外部に流出させたくないというサ イトならば、何でも対象になります。  「magecart」攻撃をご存じでしょうか? これはサプライ チェーンを攻撃したことでかなり広まったWebサイト攻撃で す。多数の eコマースサイトで使われたあるライブラリの中に 組み込まれたもので、顧客が入力する信用情報を盗んで(スキ ミングして)アタッカーに送れるというものでした。ブラウザ の内側でこれらの脅威を防ぐ、または少なくとも検知しなけれ ば、企業の収益とブランドを大きく毀損する可能性があります。

あなたの最初の質問への答えは、イエスです。eコマースは ユーザーがブラウザに機密性の高い情報を入力することがあ る場所の一例です。銀行、ペイメント、ヘルスケアなど、個人 を特定する保護すべき情報があるサイトなら当社のWeb 保護 ソリューションが非常に適します。金融サービスとペイメント を併せて、5つの分野にフォーカスしているところです。  例えばコネクテッドヘルスケア、つまり攻撃者がそのデバ イスを制御または操作することができれば患者が非常に危険 になる、直接身体に装着する医療機器を提供している企業に フォーカスしています。

例えばペースメーカーのようなものを提供している企業です か? 


そうです。ご存知かもしれませんが、実際にIoT 関係者が ラスベガスで毎年開催する会議では、ペースメーカーと、糖 尿病患者のためのインスリンポンプの(攻撃)例がたくさんあり ました。攻撃者がこれらのデバイスを乗っ取れるなら、相手 にひどい実害を与える危険性があります。今当社の製品はデ バイス自体の中に導入されてはいませんが、各デバイスと対話 するアプリを保護しています。  さらに自動車メーカーです。例えば携帯電話で車のロック を解除できたり…こうしたアプリにセキュリティの欠陥がある と、車を盗まれる可能性があります。運転中も影響がないよ うに、保護することが非常に重要です。

それから、もう少し規模は小さいが重要な業界の1つはゲー ミングです。パブリッシャーは彼らのお金と収益が盗まれな いことを担保できます。  そしてデジタルとストリーミングメディアです。ストリーミン グビデオサービスのように、権利保護が必要なコンテンツを 持っている業界は、われわれの最大の活躍場所です。

さらにわれわれは個々のソフトウエアベンダーとも取り引きをしています。信頼できない環境に企業がソフトウエアを展開したい場合、付与されたライセンスの範囲外でそのソフトウエアが使われないようにします。例えば CAD/CAMソフトのような、提供企業にとって非常に重要な知的財産をコードに組み込んだソフトについて、リバースエンジニアリングできないようにする保護機能を提供しています。

arxan interview

他の分野での事例も教えてもらえませんか?


分かりました。当社の最大の成長分野は金融、特に銀行です。モバイルアプリの保護ソリューションのビジネスが急 Digital StacksサンフランシスコにあるArxan本社オフィスの様子。 Digital Stacks Service Catalog / 8 成長しています。既に当社の防御が、いくつかの企業の保険数理表を、よりリスクを受け入れられるように変えつつあります。銀行が公開する新しいアプリや機能には常に予想外の詐欺行為が発生するため、そのリスクを想定するわけですが、当社のソリューションを使えば、以前よりもはるかにモバイルアプリを信頼できるようになります。そこで以前よりもっと頻繁に、顧客に利益をもたらす新機能を展開できます。さらに私たちは、アプリやWebサイトを全面的に保護するだけでなく「脅威分析」を実現します。つまり攻撃者がモバイルアプリやWebサイトで不正を試みる行為を、よりプロアクティブな方法で知らせ、すぐに対応できるようにします。当社の多くの脅威分析のお客様は、「容疑モデル」というものを構築しています。これによって危険な行動のパターンを検知できます。例えば「あ、この人はジェイルブレークされた機器でアプリを使っている」と分かります。ジェイルブレークされ たデバイスは信頼できないので、例えばアプリで大金を送金することを許可するべきではありません。分かりました。当社の最大の成長分野は金融、特に銀行です。モバイルアプリの保護ソリューションのビジネスが急Digital StacksサンフランシスコにあるArxan本社オフィスの様子。Digital Stacks Service Catalog / 8 成長しています。既に当社の防御が、いくつかの企業の保 険数理表を、よりリスクを受け入れられるように変えつつあ ります。銀行が公開する新しいアプリや機能には常に予想外の詐欺行為が発生するため、そのリスクを想定するわけですが、当社のソリューションを使えば、以前よりもはるかにモバイルアプリを信頼できるようになります。そこで以前よりもっと頻繁に、顧客に利益をもたらす新機能を展開できます。さらに私たちは、アプリやWebサイトを全面的に保護するだけでなく「脅威分析」を実現します。つまり攻撃者がモバイルアプリやWebサイトで不正を試みる行為を、よりプロアクティブな方法で知らせ、すぐに対応できるようにします。当社の多くの脅威分析のお客様は、「容疑モデル」というものを構築しています。これによって危険な行動のパターンを検知できます。例えば「あ、この人はジェイルブレークされた機器でアプリを使っている」と分かります。ジェイルブレークされたデバイスは信頼できないので、例えばアプリで大金を送金することを許可するべきではありません。

悪い行為と認識されるようなミスをうっかり犯すこともあると思います。そうした誤検知はどう防いでいるのでしょう?


脅威分析の機能の一つは、過去の振る舞いを流れで見られるようにすることです。ある銀行を長い間頻繁に利用しているお客様がいて、その人が何か新たに奇妙なことをしようとした場合は、この人の過去の振る舞いのパターンにはその行動がないことから、ある程度のリスクがあると知ることができます。

一方で、利用し始めてから数日しか経っておらず、時間的に長い行動パターンがないというお客様もいるでしょう。何が正常か分からないですし、彼らが危険なことをするかどうかも分かりません。脅威分析はこういう場合でも状況に応じて決定を下せるように、その行動の意味を解釈できます。「感染したデバイスで 実行していますか」とか「アプリをデバッグしようとしています か」、「アプリにパッチを適用していますか」とか、攻撃者がアプリを攻撃しようとしている可能性をさまざまなやり方で確認し、リスクを評価できます。 Digital Stacks Digital Stacks Service Catalog / 9 もちろんたいていの企業はファイアウォールかWebアプリファイアウォールを設置しており、何が起こっているのかを知ることができます。

でもわれわれは、ネットワークで送受信されるものだけでなく、スマホの上で実際に行われていることを可視化します。データセンターの中やエッジで起きていることだけでなく、もう少し先の、アプリ全体で起きていることを可視化できるのです。エンドポイントで実際に何が起きているのかを確認して対応を決定することもできます。

顧客がこのテクノロジーを使用する場合、事前にモデルをトレーニングする必要がありますか?


ある部分では確かに、はい、トレーニングの期間が必要です。アプリをデプロイするとすぐに、イベントのストリームが戻ってきます。実際には、個々のユーザーが自分のアプリを使って いることが分かるだけでなく、新しい方法でユーザーベースを 確認できます。また、彼らのセキュリティ体制がどんなものかも分かります。そのため、ユーザーを危険のあるグループとないグループに分けて、ビジネス上の決定を下すことができます。例えば誰かがポリシーに違反している場合は、その人たちは自分どうアプリを使っているかをカスタマーサービス部に電話して説明する必要があると決めるとか、以前に私がお話したようなハイリスクなトランザクションが起きる前にアクセスを停止するといった決定ができます。

さらに我々は全脅威分析データを既存のリスク管理プラットフォームに組み込めるように、API で利用可能にしています。既存のSIEM(Security Information and Event Management)やBI((Business Intelligence)システムにも統合できますし、企業全体に渡るセキュリティイベント情報を相関させて分析することもできます。アプリ自体から見た全イベントが表示されるので、端から端までの全体像がわかります。ファイアウォールにアクセスするアプリから、あるいはRASP(Runtime Application Self Protection)を実装しているならそれを経由して、データベースと通信している場合がありますが、われわれはアプリで何が起こっているのかという情報を提供しているので、その相互作用を端から端まで見ることができます。

バックエンドと同様に、Arxanには脅威対策チームが活動 しています。あるパターンの不正行為が発生していることが確 認された場合、同じ異常や問題が起きていないかを全顧客に 渡って調査します。現実のデータからは攻撃フレームワークと ツールを発見できますし、それがどう機能するのかが分かれ ば、どうすれば防げるかも分かります。

不正行為のトレンドについても把握できるのですね?


はい。われわれに保護製品の全体を長期間観察できます。 さらに、当社の製品はアプリと一緒に配置されて、すべての コンテキストを把握する小さなセンサーです。だから「攻撃者 が私がいるアプリのこの機能を攻撃しようとしています」と通 知できるのです。

また、即時のフィードバックを受けられるだけでなく、自 分の DevOpsサイクルやDevSecOpsサイクルの一部にその フィードバックを入れることもできます。そのフィードバック を受けて再配備することで、頻繁に攻撃を受けている部分の 保護をシンプルに強化したり、セキュリティと性能のバランス をとるため他の部分との兼ね合いで保護の強度を調整すると いったこともできます。

DevOpsまたはDevSecOpsサイクルの一環にフィードバッ クループを組み込むことで、アプリの中で実際に危険にさらさ れている部分を中心にして、非常にきれいにそして厳密に保護 を調整できるのです。

Inside Arxan