「セキュリティにもビッグデータの観点を」RSAアート・コビエロ氏
セキュリティ脅威に対する4つの提言
 |
| 米EMC エグゼクティブ・バイスプレジデント兼RSA エグゼクティブ・チェアマンを務めるアート・コビエロ氏 |
EMCのセキュリティ部門であるRSAは28日、「セキュリティの脅威に対する4つの提言」と題した記者説明会を開催。米EMC エグゼクティブ・バイスプレジデント兼RSA エグゼクティブ・チェアマンを務めるアート・コビエロ氏が脅威の現状や今後の企業セキュリティの在り方について説明した。
■セキュリティ被害続出も「望みはある」
2011年は世界各地でサイバー攻撃が多発した。3月には豪政府、4月にはSony、6月にはGoogle、9月にはDigiNotarや三菱重工業。その中にはRSA自身も含まれており、今やサイバー攻撃の闇に世界が包まれてしまうのではないかという印象だ。
コビエロ氏は「これらの被害は氷山の一角。攻撃者も攻撃方法も動機もばらばらだが、共通して言えるのは、従来のセキュリティ対策ではもう十分ではないということだ」と語る。
従来、セキュリティは要所要所の脆弱性を埋めるために、ポイントソリューションとして導入されてきた。そのため管理機能も統合されず、加えて、昨今のデータ爆発、情報共有先の増加、Webアプリケーションの増加、クラウドへの移行、ITのコンシューマ化などが加速し、一層、セキュリティの秩序は崩れ始めている。
「企業や組織では外部への開放性が高まっている。その結果、新たな脆弱性が生まれてしまった。例えば、標的型のゼロデイ攻撃などは、狙った企業のみに添付ファイル付きメールといった形で送られてくる。これに対して、従来のIDS・アンチウイルスといった境界型防御は何の役にも立たない」(同氏)。
こうした状況に、もはや打つ手はないのか。コビエロ氏は「NO」と答える。「わたしは悲観的なメッセージを放ちたいのではない。現状でも“望み”があると伝えるために、いま、この場に立っている」。
■敵を知り己を知らば百戦危うからず
 |
コビエロ氏によれば、セキュリティ業界は攻撃者と同様に速く、俊敏に動き、かつ攻撃者の狡猾さに対抗できる技術や能力をすでに開発しているという。また、敵の動機や攻撃方法を知ることでより賢明になれるという。まさに「敵を知り己を知らば百戦危うからず」というわけだ。
「企業はリスク管理において組織の内部ばかりに目を向け、近視眼的になりがちだ、リスクを理解するためには、誰が、なぜ、どのように攻撃してくるかを予測する必要がある。そして、攻撃者には3つのタイプがあるといえる」(同氏)。
攻撃者の3つのタイプとは、1つは、政治的な意図を持ち、世間の注目を引くために攻撃を行うものだという。テロリストのようなもので、Webの脆弱性、一般的なセキュリティ統制の欠如、社員のセキュリティ意識の甘さといった穴を見附、組織の内部者と手を組んでくる。「ただし彼らは技術力は高くなく、リソースも潤沢ではない。そのため、やっていることを見抜くのは容易なことだ」(同氏)。
2つ目は、金銭目的のサイバー犯罪者で、攻撃キットや特定不可能なドメイン名など、アンダーグラウンドのリソースを活用し、スピードと物量でもって脆弱なスポットを攻撃してくる。「彼らは攻撃の痕跡が見えても構わないというスタンスで来るのが特徴となる」(同氏)。
そして3つ目が、国家という攻撃者だ。「国家が関与しているAPT攻撃は、検知が難しく、巧妙かつ高レベルである。情報収集にはソーシャル・エンジニアリングを駆使し、攻撃の何カ月も前から下準備を行えるほどにリソースも潤沢。彼らの巧妙さがほかと明らかに違うのは、攻撃に使うリソースの集中度と、ひとたび侵入路を確保した後の作業の効率性にある。侵入後は静かに身を潜め、時間をかけて攻撃対象のネットワークやセキュリティの詳細な配置図を作ったりもする。そして、相手に発見されないよう、ネットワークインシデントの対応を監視しながら、自己の振る舞いをうまく合わせ、狙っているものを手に入れるまでネットワークの中にとどまるという性質を持つ」(同氏)。
敵を知ると、セキュリティは型にはまった静的なポイント製品から、より高度なシステムへと進化すべきと分かる。それには、すでに開発済み、あるいは現在開発中のセキュリティイノベーションを採り入れて、エスカレートする脅威に対応する必要がある。そしてそれらはもう可能だという。「先ほど望みがあるといったのは、これらがすでに実現できるからだ」。
■セキュリティ脅威に対する4つの提言
 |
| GRCによる管理・運用の可視化 |
では、具体的にセキュリティはどうあるべきなのか。コビエロ氏は脅威に対する以下の4点を提言している。
1つ目は、「システムはリスク・ベースであること」。
リスクは脆弱性×蓋然性×影響の深刻度によって決まる。物的価値のある情報を所有していれば、まず間違いなく攻撃される。だからこそ、自分の組織が外に開かれていると考え、脆弱性は回避できないことを認識しなければならない。そして、重要な資産と攻撃者に関する情報を有していれば、リスクを低減するポリシーが作成でき、重点ポイントも明確になるという。そこで重要となるのが、ガバナンス、リスク、コンプライアンス(GRC)の枠組みだ。
「有効なポリシーを実行し管理し続けるには、GRCの枠組みを展開する必要がある。最新のGRCの枠組みを統制と緊密にリンクさせれば、欠陥や脆弱性に迅速に対応し、コンプライアンスの要件に関するレポートも可能となる。状況は刻々と変化するため、リスク管理は繰り返し継続するプロセスでなければならず、GRCの枠組みがそれを可能にしてくれる」(同氏)。
2つ目は、「システムが俊敏であること」。
既存の統制プログラムは巧妙な攻撃を検知し、攻撃を阻止するための状況認識や可視化、俊敏製などに欠けている。そこで通常の状況やユーザーの行動、処理のパターンなどを広く理解し、それを基に予測的分析を行ってリスクの高いイベントを見つけ出すような統制を、より広く普及していく必要がある。そして、こうした統制は、高度なモニタリングを継続的かつ体系的に行うことで強化されるという。セキュリティ情報・イベント管理(SIEM)などが有効となる。
3つ目は、「システムが前後関係を理解できる能力を持つこと」。
先進的な統制やモニタリングの機能を持ったシステムを使っていても、セキュリティ・イベントとそれに関連するすべての情報が一緒に提供されなければ効果はない。言い換えれば、明確な優先順位付けや判断ができるか否かは、最も的確な情報を持っているかどうかにかかっており、単にログデータに依存する従来のSIEMでは足りないという。
そこで必要だとコビエロ氏が指摘するのが、情報セキュリティにおける“ビッグデータ”の観点である。「昨今、ビッグデータが叫ばれているが、その分野は、情報を経営に生かそうとするビジネスアナリティクスが中心である。しかし、企業のあらゆるところから集められるビッグデータは、セキュリティ問題の検知に必要な全ての情報にリアルタイムでアクセスできるというメリットももたらしてくれる。あらゆる情報が相互に関連付けられ、自社の脆弱性や攻撃の前兆も把握できる」。
そう、敵を知り己を知るのは何も人間だけでなく、システム自体にもそのインテリジェンスをもたらすべきだとコビエロ氏は提言しているのだ。RSAはそのために、統合ログ管理製品「enVision」、GRC製品「Archer eGRC」、情報漏えい防止製品「RSA DLP」、ならびに各種の認証製品を取りそろえている。また、4月には、リアルタイムでネットワーク活動の可視化を行う機能や、効率的なインシデント調査機能を備える「Panorama」を扱う米NetWitnessを買収し、年内にも国内発売を予定しているという。
そして4つ目が、「エコシステムを確立すること」だ。
コビエロ氏は数年前から、政府、ベンダー、ユーザーの連携によるエコシステム構築を提言している。ワシントンDCで7月、英国で10月に、TechAmericaやIntellectとの協力で、一流のセキュリティ専門家を官民双方から集め、高度なセキュリティ防衛戦略についての話し合いを行うなど成果も表れ始めているという。
そこで注目を集めた話題の1つが、効果的な情報交換を妨げる障壁についてだった。
「例えば、世の中こんなに馬鹿げているという例を1つ紹介しよう。ある組織がアタックされ、個人情報が盗まれたとする。そこにクレジットカード情報が含まれていれば、犯罪者はそれを不正に利用するかもしれない。でも、それだけでは終わらないのだ。情報の中にあるサービスのパスワードが含まれていたとする。ユーザーの中にはほかのサービスでもパスワードを共通して利用していることも多々あり、そうなれば犯罪者は他サイトにも不正にアクセスできてしまう。そういった状況を業界で共有できれば、包括的に対策が練れるのだが、現状では個人情報保護法などが邪魔をして、漏えいした情報について業界で詳細に共有することができなくなっている」。
そこで「法的義務を緩和し、セキュリティにとって実用的な情報をもっと共有できるようになれば、万能薬ではないが、状況に対する認識やサイバー攻撃への対応も向上するかもしれない。そういう取り組みが世界的に進んでいくように持って行かなければならない」と同氏は語る。
しかし、情報共有だけでは十分ではない。「リスク管理の標準化、ベストプラクティスの改善と共有、犯人を見つけ出すための真の意味での官民のパートナーシップ、ベンダーが持つ技術の相互運用性なども必要となるだろう」(同氏)。
「困難は人を強くする」。ニーチェの言葉だ。コビエロ氏は「この言葉のように、今年遭遇したあまたの経験から、敵をより詳しく知り、敵に対してより賢明になれた。これらを基に堅牢な基礎を築き上げなければならない」と語り、会見を締めくくった。