インタビュー

数百万の振る舞いからたった1つの不正行為を見つけ出す~RSAに訊くSilver Tailの威力

来日会見でSilver TailをPRするトンプソン氏

 2012年10月、EMCがシリコンバレーのセキュリティスタートアップ企業のSilver Tail Systems(Silver Tail)を買収したというニュースは、セキュリティ業界に小さくない衝撃をもって知らされた。EMCは買収金額を明かしていないが、少なくとも数億ドル規模の金額が動いたと推測されている。

 ここ数年、オンライン犯罪の脅威が拡大するに伴い、セキュリティ系のスタートアップに対する関心も投資額も同時に高まる傾向にある。特に注目度が高いのが、リアルタイムで不正行為を検知し、犯罪を未然に防ぐソリューションで、Silver Tailはこの分野では非常に高い技術力と実績を有していたことで知られている。導入企業のリストにはeBay/PayPal、Searsなどの大手eコマースや金融機関の名前が並ぶが、ある国内アナリストは「セキュリティ系スタートアップの中でもSilver Tailは技術的にも(買収)金額としても最上位に位置づけられていた。多くのベンダが同社の買収を狙っていたが、EMC RSAに決まったのはある意味自然な流れ」と語っている。

 買収から約1年が経ち、日本でもこの9月からRSAポートフォリオの一部として販売が開始されることになった「RSA Silver Tail」(参考記事:『EMCジャパン、Web利用者のページ遷移の癖から不正取引を見抜く「RSA Silver Tail」』)だが、今回、そのマーケティングのために来日した米EMC RSA事業部でIT脅威ストラテジストを務めるエリック・トンプソン(Eric Thompson)氏にお会いし、シリコンバレーの投資家やビッグベンダが注目した技術力の強み、数多くのセキュリティソリューションを抱えるRSAにおけるSilver Tailの位置づけ、そして拡大する一方のオンライン犯罪の傾向と対策についてお話を聞いた。

過去ではなく現在の脅威をリアルタイムにキャッチする

――オンライン上の不正行為を検知するソリューションはいくつものベンダから出ていますが、その中にあって以前からSilver Tailの精度の高さとリアルタイム性は高く評価されてきました。その特徴について簡単に教えていただけますか。

トンプソン氏: Silver Tailの最大の特徴は、“犯罪者は必ず異常な行為を取る”という考えの下、徹底的に人にフォーカスし、何百万もの正常なセッションの陰に隠れているたったひとつの異常行為を浮き彫りにすることです。わらの中にある一本の針をピンポイントで拾い上げるように、隠れた脅威をクローズアップできるのです。

 eBayやPayPalなどの巨大なオンラインサイトでは1秒間に数百万単位のセッションが発生します。我々の独自技術である“ストリーミング解析”はその膨大なデータから正規ユーザーのプロファイルをダイナミックに作成すると同時に、脅威のスコアを計算します。ここで一定のしきい値を超えた脅威が検出されるとアラートが送信され、正常なプロファイルと比較が行われます。不審な行動の発生から約5秒以内で異常を検出し、取引を停止させることができるのです。

Silver Tailによる脅威を検知するしくみ。ネットワーク機器にアダプトするタイプのソフトウェアなので既存のWebシステムを改修する必要がなく、導入が容易な点も特徴のひとつ
膨大なWebセッションの中から、正常なユーザの履歴とは異なる振る舞いを捕捉し、不正利用を迅速に浮かび上がらせる

――異常な行動を検出するしくみをもう少し詳しく教えていただけますか。

トンプソン氏: 正しいIDとパスワードでもってアクセスが行われた場合でも、それだけで正常な接続行為とみなしてはいけない場合があります。たとえば

・通常は米国西海岸からアクセスするユーザーが、ある日突然東欧の、過去にまったく使ったことがないIPアドレスからログイン認証を求めてきた
・ショッピングサイトで同一人物が同じ商品の購入を大量に繰り返す
・同一IPで複数のユーザーがアクセスしている、または一人のユーザーが複数のIPでログインしている(ログインページヘのアクセスが異常に多い)
・アルファベット順に商品ページにアクセスし、その滞在時間が異常に短い(1秒以内)

Silver Tailによる不正利用検知の例。1つのIPから複数のIDでログインを試み、侵入に成功したところをキャッチしている

といったものです。一見正常なセッションでも、不正を働こうとするユーザーの振る舞いは正規ユーザーのそれとは明らかに異なります。特にページ遷移の足跡には如実にその異常性が明確にあらわれます。我々はクリック単位で脅威をスコアリングしており、さらに正常なセッションと異常なセッションを可視化して関連付ける技術にも長けています。インタフェースの使いやすさや対策すべきインシデントの優先度についても高い評価を得ています。

 膨大なビッグデータをもとにダイナミックに作成されたプロファイル(クイックストリーム)は、過去ではなく“現在の脅威”をそのまま表しています。プロファイルに従っていない不審な行為にはフラグを立て、ルールエンジンに従って不正行為の判別がリアルタイムになされます。この精度と迅速さはSilver Tailだけの特徴だと言えます。

ダイナミックな脅威にはダイナミックなセキュリティ製品で対応せよ

――Silver Tailの国内販売価格は、会員数が10万人のオンラインサイトの場合で約2920万円(保守費用は別)だと伺っています。オンライン上の不正行為を可視化/検知し、取引を停止させる、過去の実績も含めての価格なのでしょうが、セキュリティ製品としてはやや敷居が高い価格だとも思えます。

トンプソン氏: 単に価格だけを見てSilver Tailを高額なセキュリティ製品と評価するのは間違っています。Silver Tailがもたらす効果は価格以上だと私は断言できます。

 私がIT脅威ストラテジストとしてRSAに入社したのはつい最近(2013年9月)ですが、その前は米国の金融企業であるCapital Oneにおいて、顧客の資産を保護するためのデジタルセキュリティ戦略チームを率いていました。そこでの経験、つまりユーザー企業のセキュリティ担当者としての経験から言えることですが、Silver Tailの脅威をリアルタイムに可視化する技術、迅速に脅威を検知する技術は本当に群を抜いています。だからこそEMCは高い競争率であってもSilver Tailを買収したかったのでしょう。

 ご存知のようにセキュリティとひと口に言っても10年前と現在では大きく違います。IPアドレスのほとんどはダイナミックなものになり、モバイルデバイスが多様化して劇的に普及したことで、エンドポイントを一元的に管理することは事実上不可能となっています。言い換えれば“脅威は変化し続ける”ものであり、セキュリティ製品も変化する脅威にダイナミックに応じられなければいけません。変化を常時モニタリングし、変化をリアルタイムにとらえる――不正取引の被害増大に苦しむ金融機関やeコマース事業者は、Silver Tailがもたらす価値を正しく理解しているからこそ、積極的に導入していると言えます。

――金融機関やeコマース事業者以外にSilver Tailの導入を進められる業種にはどんなものがあげられるでしょうか。

トンプソン氏: Web上で、IDとパスワードの認証を用いて価値のある情報をやりとりするすべてのビジネスをカバーします。オンラインバンキングやeコマースのように金銭が関わる取引はもちろんですが、金銭が伴わなくても重要で価値ある情報ならすべて犯罪者のターゲットになり得ます。

セキュリティはピンポイントではなくレイヤードで

――価格は別にして、Silver TailがすべてのWebサイトに適したセキュリティ製品と言うのであれば、まずはSilver Tailから始めるセキュリティというのもありでしょうか。つまりほかのセキュリティ製品をとくに入れなくてもSilver Tailをとりあえず入れておけばオンライン詐欺は防げるという考え方はできますか。

トンプソン氏: それは無理です。Silver Tailはすぐれたセキュリティ製品であり、オンライン詐欺を正確かつリアルタイムにとらえる製品ですが、Silver Tailだけでセキュリティ全体をカバーすることはできません。

 IT脅威ストラテジストとしての私の持論は「セキュリティはレイヤで対応するべき」というものです。幸い、EMC RSAにはリスクベース認証を中心とするすぐれたセキュリティ製品が数多くあります。こうした製品と組み合わせてこそ、Silver Tailはその威力を発揮します。セキュリティはピンポイントではなくレイヤードで構築する、これは攻撃や脅威が多様化している現在、ますます重要になる視点です。攻撃が多様化するからこそ、セキュリティは何層にも渡って壁を構築しておく必要があるのです。

――最後にSilver Tailなどのセキュリティ製品を導入する前に、ユーザー企業がセキュリティに関して覚えておくべきアドバイスがあればぜひご教示ください。

トンプソン氏: “己を知る(Understand yourself.)”でしょうか。これはセキュリティだけでなくどんなITソリューションにも言えることですが、現状の課題を正しく捉えられるのはユーザー自身です。どんな脅威に自分たちがさらされているのか、それをまずは直視する勇気も必要でしょう。Silver Tailのモニタリング機能は非常にすぐれているので、多くのユーザーは可視化された攻撃の量の多さ、種類の多さに最初は唖然とします。しかしそこから逃げずに現実を受けとめ、正しいセキュリティの対策を取れる企業が、結果的にはビジネスで勝者になることができるのではないでしょうか。

***
 Silver Tailという名前はワシやタカのような猛禽類を表しているという。大きな翼をひろげ、文字通りSilver Tailのごとく空高く舞う彼らは、しかし、はるか外界の小さな獲物も見逃すことがなく、一瞬のうちに捕捉する。どんな遠くからも全体を俯瞰し、ひとつの小さな異常も見逃さない、それこそがまさしくSilver Tailの真骨頂だとトンプソン氏。猛禽類のような俊敏性でもって、国内セキュリティ市場の一角を狙っていく。

五味 明子