米EMCセキュリティ部門RSAが主催するセキュリティ業界最大級のイベント「RSA Conference 2013」のハイライトをお届けする。
米EMCのセキュリティ部門、RSAが主催するセキュリティ業界最大級のイベント「RSA Conference 2013」が、2月25日から3月1日にかけて米サンフランシスコにて開催された。今回第22回目の開催となった同イベントの参加者は、2万4500人に上った。
初日の基調講演では、米EMC エグゼクティブバイスプレジデント兼RSA エグゼクティブチェアマンのアート・コビエロ(Art Coviello)氏をはじめとする業界のエキスパートが登壇、セキュリティ業界の現状を語った。
この記事では、ビッグデータとセキュリティの関係について語ったRSAのコビエロ氏と、米Symantec製品およびサービス担当プレジデント、フランシス・デソウザ(Francis deSouza)氏の講演を紹介する。
基調講演のトップバッターは、イベントのホスト役ともなるRSAのコビエロ氏だ。コビエロ氏は今回の講演で、ビッグデータには人々の生活を良くする可能性があると同時に危険性も存在することを指摘した。さまざまなモノがインターネットに接続されると、それらのモノから発せられるデータを分析することで、攻撃経路が侵入者に分かりやすくなるためだ。
こうした脅威に対し、コビエロ氏は「セキュリティ対策でもビッグデータを活用すべき」と述べる。そこで同氏は、RSA、ノースイースタン大学、Booz Allen Hamiltonが共同で発行した「Big Data Fuels Intelligence Driven Security(ビッグデータが焚きつけるインテリジェンス駆動型セキュリティ)」というセキュリティペーパー(、ペーパー本体/PDF)から、ビッグデータを活用したセキュリティ管理システムに必要な要素を紹介した。
同ペーパーでは、ビッグデータのセキュリティ管理システムに必要な要素として、データの自動化ツールと中央集中型のウェアハウス、分析エンジン、標準分類法、そしてスケールアウト可能なインフラを挙げている。コビエロ氏は、完全なプラットフォームはまだ実現していないとしながらも、「ビッグデータ分析を活用することで、既存のセキュリティ製品に破壊的な影響を与えるような製品が登場するだろう」としている。
またコビエロ氏は、セキュリティ対策にビッグデータを活用するためには、インテリジェンス駆動型のセキュリティインフラに移行する計画を立て、セキュリティ情報の共有データアーキテクチャを構築し、ビッグデータツールを活用した統合セキュリティアーキテクチャへと移行することなどが必要だとした。
一方、Symantecのデソウザ氏は、「ビッグデータでビッグインテリジェンスを得ることが可能だ」と語った。
デソウザ氏のいうビッグインテリジェンスには、3つの特徴がある。まず、ビッグインテリジェンスで脅威の状況が把握できるとデソウザ氏。「Symantecでは、セキュリティ分析でビッグデータを構築している。これにより、脅威に対する見解を示すことができ、ファイルが安全か否か、素早く判断できる」とする。また、個々のファイルの安全性だけではなく、攻撃者の正体を暴き、誰に狙われているのか、どんな作戦の下で攻撃者が動いているのかを把握するためにもビッグデータを活用し、「次に狙われるのはどこか、そのための対策は何か、考えることができるようになる」とデソウザ氏は説明する。
2点目の特徴は、自らの資産を理解できるという点だ。データは、データセンターやクラウドのみならず、PCやモバイルデバイスなどにも保管されているが、どの情報が大切かを把握するのもビッグインテリジェンスだとデソウザ氏。実際には企業データで重要な情報は5%以下だとしながらも、「それがどこにあるのか知ることは非常に重要だ」としている。
そしてビッグインテリジェンスの3点目の特徴は、「自身を理解できることだ」という。つまり、企業にとって「普通であること」がどのような状態なのかを理解し、普通でない状態になった時にそれが「普通でないこと」を理解することこそ、攻撃に対抗する強力なツールになるとデソウザ氏は主張した。
RSA Conferenceは、専門セッション数の多さも特徴だ。イベント開催期間の5日間で用意されたセッションは約270に上った。
今回のさまざまな講演で語られていたのは、サイバー攻撃がサイバー戦争やスパイ活動に発展しつつあるという事実だ。
ここでは、セキュリティシミュレーションのデザインや構築を行うCounter HackのCEO、エド・スコーディス(Ed Skoudis)氏のセッションを紹介したい。スコーディス氏は、セキュリティ教育機関、SANSの講師も務めており、ホワイトハウスからの要請で米国政府のインターネット環境やインシデント対応力などを分析した経歴を持つセキュリティ専門家だ。
スコーディス氏はセッションで、自らが考える3つの新たな脅威について語った。まず1つは、サイバースペースが軍事化していることだ。スコーディス氏は、「これまでの戦争と違い、サイバー戦争は安価に、かつ身体的なリスクを低く抑えつつ軍事目的を達成する手段として考えられるようになった」と話す。サイバースペースは戦場となりつつあり、各国政府もサイバー対策の予算を増やすなど、対策に乗り出しているというのだ。
スコーディス氏は、「近い将来、サイバー軍事活動が行われることになる。少なくとも防衛は必ず行われるだろう」と予測し、すでにリチャード・P・ミルズ海兵隊中将が2010年にアフガニスタンで司令官としてサイバー攻撃を仕掛けたとワシントンポスト紙に告白していることを紹介した。
2つ目の脅威は、攻撃的なフォレンジック(Offensive Forensic)が行われていること、そして攻撃者が意図的に自身の属性をミスリードしようとしていることだ。これまで、電子情報のフォレンジックは、防御を目的としたものか、攻撃された時のためだけに存在していたが、「今ではフォレンジックの妨害はもちろん、攻撃的なフォレンジックが行われるようになっている」とスコーディス氏は述べる。フォレンジックの妨害とは、証拠隠滅を図ったり証拠をねつ造することで分析・調査を困難にするものだが、攻撃的なフォレンジックでは情報資産を積極的に探し出して詐取するという。
また、攻撃者による意図的な属性のミスリードとは、あるマルウェアの属性が他の攻撃の属性に結び付き、真の主導者の発覚につながることを避けるため、攻撃者が自身の属性をミスリードするという試みだ。「例えば、攻撃者の使用する言語とは異なる言語の資料をマルウェアに組み入れたり、それほど重要ではない間違いを意図的に混入するなどして、他人が仕掛けた攻撃のように見せかける」とスコーディス氏は説明する。
3つ目の脅威は、サイバー攻撃が物理的な影響を与えつつあることだ。これまでコンピュータのセキュリティ対策といえば、機密情報を守ることが中心。「国家情報の保護に関しても、重要な情報はネットワークから遮断してスパイから守ることだった」とスコーディス氏。それが今では、「攻撃者は、現実の世界で使われている産業制御システムやリモート監視システム、交通システムなどを狙っている」と警告する。
スコーディス氏は、これまでに発生したサイバー攻撃で実際に物理的な影響のあった例として、2011年にイリノイ州で発生した水道システムへのハッキングによるポンプの不具合や、同じく2011年に米運輸保安局が発表したハッカーの攻撃による交通機関の乱れなどを挙げた。
SANSでは、こうした事態に備えるための技術を身に付ける訓練の一環として、「NetWars CyberCity」を構築した。実はスコーディス氏はこのNetWars CyberCityのクリエイターでもある。
NetWars CyberCityは、約1.8×2.4メートル大のサイバー都市で、リモート監視システムで管理された送電網、交通システム、貯水池、鉄道網などのほか、普通の町に存在する病院や銀行、カフェなどが設置されている。この中で実際に送電網を攻撃し、どのような影響が出るのか物理的に示すとともに、「サイバー戦士」がミッションを達成できるよう訓練しているのだという。
「サイバー攻撃が物理的なインパクトを与えることもあるという事実を、軍事計画立案者などに理解してもらい、サイバー戦士には攻撃に対処できる技術を身に付けてもらう必要がある」とスコーディス氏は述べた。
約370社が展示ブースを構える展示会場は、第二次世界大戦時にナチスドイツが用いた暗号機「Enigma」から、最新のセキュリティソリューションまでさまざまな製品が並んでいる。主催者となるRSAは、同イベントをベンダ色のないセキュリティイベントと位置付け、基調講演内でもコビエロ氏が自社製品を紹介することはない。
しかし、せっかくの同社主催のイベントである。ここでは今回の展示会場内で最大となる36×9メートルの大型ブースを構えたRSAの製品を2つ紹介しよう。
まず、RSAがイベントに合わせて発表したのは、認証ソリューションの最新版「RSA Authentication Manager 8」だ。最新版は、コビエロ氏が基調講演で「ビッグデータを活用したセキュリティ対策を」と訴えた内容にマッチした製品となっている。
RSA Authentication Manager 8は、ワンタイムパスワードの「RSA SecurID」と、ビッグデータ分析によるリスクベース認証を組み合わせたソリューションだ。さまざまなリスク要因を分析し、ユーザーのアクセスを確認、認証する。ユーザーのプロファイルはデバイスおよび行動パターンによって構築されるため、異常な行動を認識しやすいという。
またRSAのブースでは、2012年10月にRSAが買収を発表したSilver Tail Systemsの製品も展示されていた。Silver Tailは、オンライン上での振る舞いをすべて監視してパターン化し、その中から脅威を発見するシステムだ。不審なアクセスを検知するとアラートを出し、IPアドレスやヘッダなどから犯罪者にありがちな振る舞いがないか監視する。実際に何らかのトランザクションが行われなくても検知できることが、既存のトランザクションモニターとは異なる点だ。日本では未発表の製品だが、第2四半期から第3四半期にかけて日本市場への導入が計画されているという。
Copyright © ITmedia, Inc. All Rights Reserved.