ニュース

デジタル変革を推進する信頼を作る――、RSAがラボでの最新研究を紹介

 EMCジャパン株式会社のセキュリティ部門であるRSA事業本部は25日、米国のラボで取り組んでいる研究の一部を紹介した。

 RSAの研究機関であるRSA Labsでは、アイデンティティウォレット、コンテナベース環境でのセキュリティ技術、近接情報に基づく本人認証、OPC-UAなど多岐にわたる研究を行っている。今回、最高技術責任者(CTO)であるズルフィカー・ラムザン氏が来日し、製品として提供できるレベルに近づいた、4つの新しい技術プロジェクトを紹介した

 ラムザン氏は、「企業がデジタル変革を進める際の燃料ともいえる、『信頼』を実現する研究を進める」と研究に取り組む姿勢を説明している。

米RSA CTOのDr. Zulfikar Ramzan(ズルフィカー・ラムザン)氏

サードパーティリスクに備えるための新しい取り組み

 今回の説明会に登壇したズルフィカー・ラムザン氏は、RSAの技術戦略を立案しいるCTOで、今回は進行中のプロジェクトを4つ紹介した。「研究中のものはほかにもあるが、今回紹介した4つは販売に近づいているものばかりだ」とこの4つを選んだ理由を説明する。

 具体的には、「3PP」「REV」「IRIS」「BIG BANG」という4つのプロジェクトだ。

昨年RSA Labからリリースされた主なプロジェクト
2019年にRSA Labが取り組んでいる代表的な4つのプロジェクト

 このうち「3PP」は、サードパーティリスクに備えるための新しい取り組み。企業活動におけるリスクを統合的に可視化するRSAのセキュリティソリューション「RSA Archer Suite」の中に取り込んで提供することを予定している。

 「なぜ、新しいサードパーティリスク評価の仕組みが必要なのか。それは現在使われている仕組みの多くが前時代的で、真実に照らし合わされたものではないからだ」とラムザン氏は指摘する。

 新たなサードパーティと取引を開始しようとする際には、企業側が質問票を送付する方法で調査を行うことが多い。この質問票への回答はサードパーティ自身が行うため、「友人が投稿するSNSの情報を思い出してほしい。多くの友人が一番写りの良い写真を自画像として登録し、つらい場面は投稿せず、楽しい場面ばかりを思い出として登録する。『その投稿のイメージと実際の友人とでは大きな落差がある』と感じたことはないだろうか? サードパーティ自身が答えた質問票も同じで、取引を行うために、通常よりも良い部分ばかりをアピールしている可能性もある」というのだ。

 そこで、従来の回答との比較などを行って、本当に妥当な答えなのか、サードパーティが一貫性ある回答をしているのかを見抜く体制を構築。アンケートの答えが正しいものなのかを確認できるようにするという。

 また、こうした質問票はExcelで作られ、メールでやり取りされることが多いため、「受け取った企業側は、何万社分も存在する質問票をどのように管理していくのか悩んでいる」という実情もあるとのこと。

 そこでRSAでは、クラウドベースのポータルを用意。質問票をクラウドから送付し、集計もクラウドで行い、管理していくスタイルへと変更するとした。

3PPの概要

認証の仕組みにふるまいの履歴を加える

 2つ目の「REV」は、RSAが提供している「RSA SecurID Suite」の大きな差別化要素である“リスクエンジン”をさらに強化するものだ。これまでとまったく異なる角度から強化を行う。

 具体的には、認証の仕組みにおいて、現在取り入れているパスワードを用いたID認証の仕組みに加え、「どこからアクセスが行われているのか」「使われているハードウェアは何か」「利用している時間帯はいつか」など、ふるまいの履歴を加えられるようにするという。

 ラムザン氏は、「リスクエンジンを活用することで、エンドユーザー側にもメリットが生まれる。誤った使い方をしていない場合には認証のスピードが速くなるからだ。しかしその結果、リスクエンジンがどのような仕組みになっているのかを理解することが難しくなるといった、大きな欠点も生まれてしまう。企業としては、自分たちのポリシー通りに運営されているのかといったチェックが難しくなる。そこで、そうした問題が起きないよう可視化することが必要になる」とした。

 また、今後、可視化することが求められる可能性があるものとして、ラムザン氏はAIを挙げた。「現在のようにブラックボックス化しているAIを活用していくと、誤った使い方になっていないか、チェックする方法がない。AIを利用する企業側は技術を理解し、正しい使い方がされているのかチェックした上で利用する必要があるのではないか」と述べ、今後、可視化が必要になる場面が増えると指摘している。

REVの概要

IoT機器の動きを把握する

 「IRIS」は、IoT機器がどう動いているのか、理解するためもの。

 「IoT機器は数が多く、どう動いているのか管理していくことは容易ではない。そこで多く利用されているIoTゲートウェイに着目した。エッジゲートウェイを監視し、すべてのIoT機器の動きを可視化する。管理は人の目ですることは難しいので、機械学習を使って脅威を見つけ出していく」とした。

IRISの概要

企業のデジタル資産管理をサポート

 最後の「BIG BANG」は、企業がデジタル資産を管理することをサポートするもの。

 「企業のデジタル資産は年々増大する傾向にあるが、多くの企業はExcelの一覧表でデジタル資産を管理しているのではないか。中身を見ると、3年前から更新されていないケースも多いだろう。まったく現代的ではない方法だ。これを是正するものが『BIG BANG』で、推論を活用してネットワークから状況評価を行うことにより、リアルタイムに状況を把握していく」。

 集めたデータの活用は資産管理にとどまらず、脅威を見つけ出したり、企業にとって重要なものを探し出したりすることも可能という。

 「誰が、いつ、アクセスしているのか。利用頻度はどれくらいなのか、ほかにどんなシステムとつながっているのかといった状況を記録する。さらに機械学習によって企業にとって真に重要なものを見極める。こうした分析は、SOCで活用する重要な要素となるだろう。インシデントが起こった際に活用することや、セキュリティ的な観点から重要視しなければならないのはどこなのかが明らかになるからだ。残念ながら、現在行われているCMDB(構成管理データベース)にはこうした観点が欠けている」。

BIG BANGの概要

*****

 ラムザン氏は、こうした取り組みを紹介した上で、RSA Labsの役割について、「多くの企業がデジタル変革を進めている中で、信頼性を作るためのテクノロジーを生み出すことがわれわれの役割だと考えている。信頼という要素は、デジタル変革における燃料といえるものではないか」と述べ、信頼性を実現するための技術開発を引き続き進めていくことをアピールした。

米RSA CTOのDr. Zulfikar Ramzan(ズルフィカー・ラムザン)氏