攻撃者に対抗するには「マインドセットを変えるべき」、RSA代表が語る

　米EMCのセキュリティ部門RSAが主催するセキュリティカンファレンス「RSA Conference 2015 Asia Pacific ＆ Japan」が22日、シンガポールにて開幕した。同イベントは、米国で開催される「RSA Conference」のアジア版として開催されるイベントで、今回のテーマは米国版と同じく「Change」。このテーマには、セキュリティに対する考え方を変えていこうという意味が込められている。

RSA Conference 2015 Asia Pacific ＆ Japanの会場

　初日の基調講演に登場したのは、米EMC RSA プレジデントのAmit Yoran氏だ。Yoran氏は、多くの企業がインターネット上での個人認証に課題があることや、そこに脅威が潜んでいることに十分気づいていないと警告した。

　「物理的な世界では指紋認証や音声認証などで個人を特定している一方で、オンライン上での個人認証はユーザーネームとパスワードに頼っている。いくら次世代ファイヤウォールやアンチマルウェア技術などの防止策を講じても、攻撃は完全に防ぐことができていないのが現状だ。防御していれば安心というマインドセットをまず変えなくてはならない」（Yoran氏）。

米EMC RSA プレジデントのAmit Yoran氏

　Yoran氏は、状況の変化とともにマインドセットを変えた業界の例として、郵便局を挙げた。インターネットの普及により、コミュニケーションの手段として手紙を利用する人が減少、切手を販売するだけでは郵便局が生き残れなくなってしまった。そこで、シンガポールの郵便局Singapore Postでは、小売店のEC事業への参入を支援するため、Webサイト構築からオンラインマーケティング、そしてパッケージ配達までをワンストップで提供するようになったという。日本郵便も、オーストラリアの運輸会社Toll Holdingsを買収、国際物流事業を拡大しようとしている。一方、「セキュリティ業界ではいまだ切手を販売し続けている。攻撃手法はどんどん進化しているにも関わらずだ」とYoran氏。

　「シグネチャベースの侵入検知システムやアンチマルウェア製品でモニターするだけでは、未知の脅威を検知できない。それなのに、いまだにセキュリティ業界ではこうしたツールのログに頼っている。状況が変わったことを理解していない」とYoran氏は述べ、セキュリティに対する新たなアプローチとして5つの指針を示した。

セキュリティへの新たなアプローチとは

　Yoran氏がその指針の最初に挙げたのは、「最先端の防御システムでさえ守れないものがあることを理解せよ」という点だ。攻撃者は、資金も創造力も豊富で、的を絞って企業システムを攻撃する。そのため、どれだけ防御壁が高くても、その壁を越える方法を見つけてしまうという。

　2点目は、「エンドポイントからネットワーク、クラウドに至るまで、すべてにおいて透明性を確保しておくこと」。こうすれば、高度な脅威を検知する可能性も高まるという。「StuxnetやEguation Groupといった巧妙な攻撃の特徴はステルス性にあり、検知できない。だからこそ企業システムの環境を完全に可視化し、ネットワーク内でどのシステム同士がなぜつながっているのか、その頻度や長さ、コミュニケーションの量、内容まで把握しておくことが重要だ」とYoran氏は説明する。

　同時にYoran氏は、攻撃が発生した際に決してやってはならないこととして、「攻撃を過小評価し、本当の侵害の範囲と攻撃の内容を理解する以前に、侵害されたシステムを修復してしまうこと」を挙げる。「攻撃をしっかり理解しない限り、同じことが起こる可能性がある。どこを通れば検知をすり抜けられるか攻撃者に教えているようなものだ」とYoran氏は警告する。

　3点目は、有効なID管理が重要であるということ。Yoran氏によると、有効なID管理とは「ガバナンス」「アクセス」「ライフサイクル」の3つだという。ガバナンスとは、誰がどの情報にアクセスできるのか明確にしておくこと。アクセスとは、その情報にアクセスできる権限のある人物をきちんと管理すること。ライフサイクルとは、時を経て変化するそのアクセス権限を最後まで管理し続けることだ。

　「これまで企業はポイントソリューションを導入し、問題が発覚すれば修復するというアプローチをとってきた。この考えをやめ、IDがビジネスの戦略的実現要因になるような包括的アプローチをとらなければならない」とYoran氏。つまり、門番になるのをやめ、IDのライフサイクルと権限を管理し、誰がどのシステムやアプリケーション、データにアクセスできるかきちんと決めることが重要だとYoran氏は説明する。

　IDが重要である理由としてYoran氏は、現在データ漏えいのほとんどがマルウェアなどによるものではなく、Webアプリケーションへの攻撃が元になっていることを挙げる。しかも、そのほとんどは不正入手したIDで堂々と侵入しているのだという。

　「攻撃者は、目的を達成するための足掛かりとしてIDを悪用する。システム管理者のアカウントを作ったり、過剰特権アカウントや休眠アカウントを悪用したりするのだ。認証を強固なものにして、誰が何にアクセスしているかを分析すれば、攻撃をいち早く検知できる。特権のあるアカウントの動きを単純に信用してはいけない。そういうアカウントこそ最も標的になりやすく、疑ってかかるべきアカウントでもあるのだ」（Yoran氏）。

　4点目は、インテリジェンス（情報）を確保しておくこと。Yoran氏は、ベンダーが提供しているインテリジェンスセンターなど、さまざまな手法を駆使し、脅威情報を把握すべきだとしている。こうした情報は、マシンで解読可能にしておく必要があり、自動化も必須だという。これを自社のセキュリティプログラムに組み入れ、組織の資産や関心に合わせて運用することが重要だという。

　ただしYoran氏は、こうした情報をPDFやメールで共有しないようにと忠告する。攻撃者は、システム管理者やネットワーク防御担当者の通信内容を監視するため、メールサーバーに侵入するケースもあるためだとしている。

　最後の5点目は、リスクを理解した上でセキュリティプログラムを利用することだ。自社にとってビジネス上重要なことは何なのか、何がミッションクリティカルなのかを把握し、限られたセキュリティリソースに優先順位をつけるよう、Yoran氏は呼びかけている。

　この5つの指針は、「必ず役に立つのでぜひ実行してもらいたい」とYoran氏。「セキュリティの世界は海の上を航海しているようなもので、どこに向かうのかわからない。ただ、これまでにやっていたことを続けるだけではだめなのだ。世界は変わったのだから、われわれも変わらなくてはならない。このカンファレンスを通じて、まずマインドセットを変えることについて真剣に考えてほしい」とYoran氏は述べ、「Change」というテーマに秘められた思いを強調して講演を締めくくった。