ビッグデータがセキュリティを高次元へ、RSAアート・コビエロ会長

　EMCジャパン株式会社は19日、RSA会長のアート・コビエロ氏の来日に伴い、「インテリジェンスの活用によるセキュリティ脅威への対抗」と題し、ビッグデータ時代における企業のサイバー脅威対策やセキュリティへの考え方に関する記者説明会を開催した。

RSA会長のアート・コビエロ氏

ITの発展は犯罪者の生産性も上げることに

　まず、世界におけるサイバー脅威の状況を概説する同氏は、「2001年と比べるとコンテンツ量はエクサバイトからゼッタバイトへ、アプリケーションはC/SやM/FからWebへとオープン化され、デバイスといえばノートPCくらいだったのが、スマートデバイスが誕生し、ソーシャルメディアによって気軽に世界中がつながるようになった。インターネット人口は5億人程度だったのが今や24億に到達。IPv6も普及し始め、10億もの物理デバイスがインターネットに接続される世の中となった」とこの10年のITの変化に言及。

　その上で「これらはどれも悪いことではない。おかげでどれだけコミュニケーションが迅速に行えるようになったか。企業はどれだけ生産性を高められたか。商取引はどれだけ効率化されたか。ビッグデータの登場で生産性はわれわれの想像を超えるほどに高まるだろう。非常にわくわくすることなのだが、問題はこうしたオープンな状況、われわれが得た生産性は敵も手にしているということだ」と、技術の発展がサイバー犯罪を容易にしてしまったという影の側面に触れた。

　「昨今はAPTと呼ばれる複数のステップを使った標的型攻撃が多発している。さらに犯罪者と国家が共謀している事例も証拠としてつかんでいる。ITが多様化し攻撃対象領域が拡大したことで、状況は危機的なものになっている」。

現在のセキュリティモデルの限界

　その原因は、さまざまな変化の結果、攻撃能力と防御能力に乖離（かいり）が生じていることだと同氏。「現在のセキュリティモデルに原因があるといえる。現在のモデルは過去の情報に基づいたもの。つまり対症療法的なものでしかない。また、境界防御を前提としたもので、企業とネットの出入口がせいぜい1つしかなかった2001年ごろはよかったが、クラウドやモバイルで境界が曖昧になった現在では成功しない」と指摘。

新たな「インテリジェンス主導型モデル」を提唱

新しいモデルを図式しながら説明

　このギャップを埋めるものとして「インテリジェンス主導型モデル」を提唱した。このモデルではリスクを徹底的に理解するところから始める。内側からみたリスクだけではなく、外側からもどういう攻撃が可能かを理解することが重要で、すなわち攻撃者の視点が必要となる。また、リスク管理を組織全体に広げる必要があり、IT担当者のみがその任務を担うのではなく、経営層も理解することが欠かせないという。

　「新しいモデルにおいては、脅威を制御する“コントロール”の仕組みが動的に変化し、俊敏製を持ったものでなければならない。そのときの状況や情報に基づいて対応できるコントロールだ。それには自己学習能力が必要で、また複数のコントロールが協調し補完しあう必要がある」。

　これまで、こうした仕組みには技術的な壁が存在した。しかし、現在のコンピュータの処理能力、帯域幅、ストレージ能力を考えると、それも可能にする方法が確立されつつあるという。それが“ビッグデータによるセキュリティ”だ。

ビッグデータが切り札に

　認証1つをとっても、ビッグデータを分析することで、その中から通常とは異なる人の流れやデータの流れを読み取り、それを基に制御が可能となる。ログ分析や相関分析が限界だった従来のセキュリティ管理システムについても、飛躍的な発展を遂げられると同氏は語る。

　「インテリジェンス主導型モデルでは、あらゆる情報源からあらゆるデータを収集する能力が必要となる。それはパケットも社内の情報――それもセキュリティデータだけでなくシステムデータも、それに悪質なIP情報といった社外の情報も含めてだ。これらにより攻撃が分かった場合に迅速に対応できる能力が実現する」。

新しいモデルへは4つの障害

　しかし、こうした新しいモデルには4つの障害があるという。

　一つ目が「予算の惰性」。「従来、予算の70％を予防に、20％を検知に、10％を対応に分配されている。これをもっと平均的な配分にしなければならない。検知と対応により多くの予算を割かなければ、今のオープンな環境でのリスクに対応できない」という。

　二つ目が「セキュリティ人材の不足」。Forresterによれば2015年までに425万人の人材が必要とされているが、「現状では300万人にも満たない」という。

　三つ目が「大規模な情報共有の欠如」。ビッグデータソリューションは情報を最大限集約したときに最も効果を上げる。しかし、グローバルに情報を共有するような仕組みがまだ存在しない。

　四つ目が「技術や製品の不足」。最近になってようやくビッグデータをセキュリティに活用する製品が出始めてきている段階。急がなければ、攻撃能力と防御能力との乖離はいつまでも続いてしまう。

RSAも新製品を投入予定

　技術や製品の不足については、RSAも今期中に「Security Analytics Platform」の投入を予定する。統合ログ管理製品「enVision」とネットワークセキュリティモニタリングツール「NetWitness」のノウハウを結集したもので、パケットデータとログデータを組み合わせて、深いレベルで分析が行える。基盤にはHDFSを採用し、社内外の情報を取りためるDWHも実装。分析・相関を行い、得たインテリジェンスをさまざまなコントロールで共有する機能を備えるという。

　製品としての詳細にはリリース前ということで触れられなかったが、同氏は「こうしたビッグデータを生かした技術は、この5年くらいのギャップを埋めてくれるだろう」と締めくくった。