インタビュー

ビッグデータはセキュリティに何をもたらすのか~米RSAに聞く、インテリジェンスドリブンなセキュリティとは

 2月25日から3月1日に、米国のサンフランシスコで開催された「RSA Conference 2013」において、RSAが前面に押し出したメッセージは“ビッグデータ”だった。これは「ビッグデータをセキュアにコントロールする」というよりも、「ビッグデータでもって、セキュリティをより強固なものにする」ということを意味している。

 26日に行われた基調講演において、RSA エグゼクティブチェアマンのアート・コビエロ氏は「ビッグデータこそがわれわれをチャンピオンの座に押し上げる」と強調、同社が今後展開していくセキュリティソリューションの核であることを明言している。

 親会社であるストレージベンダのEMCがここ1、2年、ビッグデータを同社の最重要テーマとして掲げていることを考慮すれば、それほど違和感を覚えるメッセージではないが、ここで気になるのが「本当にビッグデータ分析でセキュリティの世界は変わるのか」という点だ。

 今回、RSA Conference 2013の会場において、RSAのプレジデントであるトム・ハイザー氏と、RSAのリサーチ機関「RSA FirstWatch」でシニアマネージャを務めるウィル・グラディド氏に話を聞く機会を得た。両氏のコメントをもとに、RSAが打ち出したビッグデータ戦略の可能性について検証してみたい。

ビッグデータはセキュリティにとってのイネーブラー

RSA FirstWatchのシニアマネージャ、ウィル・グラディド氏

 グラディド氏が所属するRSA FirstWatchは、RSAの社内でもトップクラスの技術者で構成されている組織で、日々、500万を超える不審なIPや次々と生まれる新たな脅威のソースをトラッキングし、未知の脅威を既知の存在に変えるべく、精力的な調査/研究を続けている。2012年7月に、トロイの木馬の亜種で執拗なAPT攻撃を仕掛けるパターン「VOHO」を発見し、その名が広く知られるところとなった。

 Unknown Unknowns――。RSAが“未知の未知”と呼ぶ、目に見えない、誰も知らない新たな脅威をほんのわずかな兆候から検知し、被害を未然に防ぐ。「決して簡単な仕事ではないが、それを実現するのがわれわれの役割。競合他社でさえ目を向けないような部分まで掘り下げて、脅威の検知に全力をあげている。そして、ビッグデータが“未知の未知”を“既知の未知”に変える速度と精度を上げていく」と、FirstWatchメンバーのグラディド氏は語る。

 なぜビッグデータがセキュリティの世界を変えるとRSAは主張するのだろうか。グラディド氏は「従来のトラディショナルなデータベースでは格納できなかったデータが、テクノロジの進化で扱えるようになった。ビッグデータのエコシステムが整ってきた現在、これまで分析することがかなわなかったデータを使うことで、新たな脅威のパターンを発見しやすくなる」と語る。

 言うまでもないことだが、ビッグデータとは単にデータ量の問題ではない。3つのV(Volume、Variety、Velocity)という言葉に象徴されるように、データ量に加え、その多様性と発生頻度も重要になる。

 RSAの親会社であるEMCは、ビッグデータという言葉が生まれる前から非構造化データの増大を指摘してきており、構造化データとともに格納し活用するためのストレージソリューションを提供してきた。そしてその流れをセキュリティにも適用する準備が整ったというのが、今回のRSAの“ビッグデータ宣言”ということになる。

 もともと、RSAはリスクベースによるセキュリティマネジメントを提唱しており、ビッグデータによってその母数となるデータを、より多く、速く、正確に扱えるようになり、リスクの検出においても精度と速度が向上するとしている。

 「ビッグデータはわれわれにとってのイネーブルテクノロジ。これまで検知できなかった脅威に対抗できるインテリジェントベースのセキュリティがより広がっていくことになるだろう」とハイザー氏もまた強調する。

 「ビッグデータ分析によって、ただのデータがインフォメーションに変わり、それにコンテキストが与えられてインテリジェンスとなる。正しいインテリジェンスがあれば、脅威がマルウェアという実体をともなって攻撃を仕掛けてくる前につぶすことができる」(ハイザー氏)。

ビッグデータにより高まるリスクは“情報の公開と共有”がカギになる

RSAのプレジデント、トム・ハイザー氏

 ビッグデータがセキュリティの世界を変えるとRSAが主張する一方で、ビッグデータそのものが危険にさらされているという事実はどうとらえればよいのだろうか。

 ビッグデータはモバイル、クラウド、ソーシャルといったほかのITトレンドとも密接に関連している。データがひとつ生まれるその横で、リスクも同時に発生する。例えばソーシャルネットワークのアカウントをひとつ作成するだけで、そこにはハッキングの可能性が生まれ、データ漏えいのリスクも同時に高まる。

 特にセキュリティ的に厄介なのは「モバイルデバイスの急増」だと、グラディド氏は指摘する。モバイルデバイスは、アフリカや南米といったこれまでインターネットの普及が遅れていた地域においても急速に普及しているが、「そのペースがあまりにも早すぎるため、リアルタイムのアナリティクスが追いつかない」(グラディド氏)という状況にある。

 また、BYODという言葉に象徴される、個人所有のデバイスを業務に活用する流れも加速しているが、「これらは企業による一元管理が難しいため、明らかに攻撃のチャンスを増やしている。われわれエンジニアにとっても技術的な課題は少なくない」とグラディド氏。

 だが一度モバイルが便利であることを知ってしまったユーザーは、もう昔には戻れないのも事実だ。「BYODは管理できないから使ってはいけない」といくら管理者が声高に叫んだとしても、便利な方法を知ったユーザーはモバイルのない不便な時代に戻りたいとは思わない。だからこそ「ビッグデータ時代は、モバイルの利用を制限するのではなく、ユーザーの教育と情報の共有がより重要になる」とハイザー氏は強調する。

 「RSAにとって、顧客のエデュケーションは非常に重要なプログラムのひとつ。特にリスクアセスメントは、プロアクティブなセキュリティを実現するためにも欠かせない。われわれとしては、リスクを把握していないことによるデメリットをいたずらに強調してユーザーをおびえさせるよりも、リスクを把握し、ベストプラクティスをシェアすることがいかにビジネスのメリットが高いかを訴求するようにしている」(ハイザー氏)。

 グラディド氏によれば、FirstWatchのメンバーは毎日、膨大な数のマルウェアの誕生や新たな攻撃パターンを目にしているという。

 「悪意のあるコードが生まれない日はない。特に高度化するAPT攻撃の進化は速い。攻撃者は犯罪者集団や産業スパイが主流だが、最近はハクティビストや国家によるハッキングが増えている」とグラディド氏。攻撃者のハッキングに対するモチベーションは決して下がることはなく、脅威に対する防御を解ける日は来ない、と言ってもいい。

 「おそらく、日本のユーザーがもっとも取るべき行動は情報の共有ではないか」と、ハイザー氏は指摘する。ちょうどRSA Conference 2013の期間中、AppleやFacebookに対してJavaエクスプロイト攻撃が行われたことが、ニュースとして大きく取り上げられたが、米国ではThe New York Timesといった一般的なメディアで、ハッキングのニュースが詳細に報道される。その際、ハッキングされた側の企業を責める論調は少ない。

 「日本企業が、攻撃されたこと自体を恥と思い、情報を公開しない傾向にあることは知っているし、その気持ちもよくわかる。だがセキュリティを高めたいなら、国や業界を超えてベストプラクティスを共有するという姿勢は非常に重要。日本企業にも、ぜひ積極的な情報公開をお願いしたいと思う」(ハイザー氏)。

 ビッグデータドリブンなセキュリティとは、ビッグデータそのものが作り出すリスクを含め、すべてのデータを分析の対象とすることから始まる。技術の発展によりその準備は整った。

 次はユーザー自身がそのデータ提供と共有を積極的に推し進めることで、より高い精度とスピードでもって“未知の未知”と呼ばれるリスクをあぶり出すことが可能になる。“ビッグデータに潜む、見えないリスクを見えるようにするには、ユーザーの積極的な取り組みなしでは実現しない”といっていいのかもしれない。

(五味 明子)