セキュリティ業界も変わらなきゃ、トップが呼び掛けるRSA Conference 2015リポート

米国で開催されているセキュリティイベント「RSA Conference 2015」の基調講演では、「Change(変化)」がキーワードとして語られた。

» 2015年04月23日 00時00分 公開
[高橋睦美@IT]

 2015年4月20日から24日にかけて、米国サンフランシスコで「RSA Conference 2015」が開催されている。暗号学者たちの集まりから始まったこのカンファレンスは、サイバーセキュリティの重要性が認識されるにつれ、規模を拡大し続けてきた。

 25回目を迎える今回はセキュリティ技術・標準やサイバー攻撃、脆弱性の動向にはじまり、リスク分析、ガバナンス、法制度、モバイルやクラウド、IoT(Internet of Things)やエコシステム、さらにはプライバシーやセキュリティ人材育成など取り上げるテーマは多岐に渡り、参加者は3万人を超えたという。

 2014年を振り返ると、米国では小売りチェーンのターゲット、そして年末にソニー・ピクチャーズエンタテインメントで発生した情報漏えい事件が社会的に大きなインパクトを与えた。一方でHeartbleedやShellShock、POODLEといった深刻な脆弱性が相次いで発見された上、サイバー犯罪は増加の一途をたどり、標的型攻撃の脅威も企業を取り巻いている。

 この「劣勢」の中、セキュリティ業界が取るべきアクションは何か――その答えとして、初日の基調講演では「Change(変化)」というキーワードがたびたび登場した。オープニングには人気テレビドラマ「グリー」に出演している女優、ジェーン・リンチが登場。デビッド・ボウイの「Changes」を、セキュリティを巡るキーワードをちりばめた替え歌で歌い上げて会場を盛り上げた。

2014年は「セキュリティ業界、敗北の年」

 最初の基調講演にアート・コビエロ氏の後任として登壇したのは、2014年10月に米RSAの社長に就任したアミット・ヨラン氏だ。同氏は、大規模な情報漏えい事件などを踏まえ、「2014年は単なる『侵害の一年』にとどまらず、『メガ侵害の一年』だった」と述べ、さらには「セキュリティ業界が、攻撃者という敵との戦いに敗北した一年でもある」とした。

米RSAの社長を務めるアミット・ヨラン氏

 ここ数年、セキュリティ業界ではたびたび「従来型のセキュリティ」の限界が指摘されてきた。ヨラン氏もこの講演の中で、「今のセキュリティは、地形に合致していない地図のようなものだ」と述べ、境界型の防御やこれまでの「経験」に頼るシグネチャベースのモニタリングは効果的ではないとした。「蛮族は門の内側にいる。どれだけ壁を高くしても問題は解決できない」(同氏)。

 ヨラン氏は現在の状態を、中世ヨーロッパの暗黒時代になぞらえる。そこからテクノロジの「啓蒙時代」に移行していくためには、「壁を高くし、深い堀を掘るという、これまで業界が提示してきた暗黒時代の考え方を変えていく必要がある」と述べ、問題はテクノロジではなく、業界側の考え方にあるとした。

 その上でヨラン氏は、5つのポイントを挙げた。

 まず、「攻撃者がより洗練されてきている今、たとえ先進的な保護でも、うまく防御できるとは限らないことを認識すること」(同氏)。次に、エンドポイントからネットワーク、クラウドにまたがる「包括的で深いビジビリティ」が必要だということ。こうした可視性が欠けたままでは「インシデントレスポンスという作業が、広範な攻撃キャンペーンを仕掛けるという脅威の真の目的を理解しないまま、感染したホストをただ除去するだけで終わってしまう」と同氏は言う。

 三つ目は、境界が意味をなさなくなってきたからこそ「アイデンティティや認証の重要性が一層増してくる」ということだ。米Verizonの調査によると、セキュリティ侵害の多くはWebアプリケーションに対する攻撃が原因となっており、その糸口の95%は「盗まれたクレデンシャル(認証に用いられる情報)」だったという。

 四つ目は、外部のインテリジェンスを活用すること。それも、アナログな形で取り入れるのではなく、コンピューターで処理可能な形でインテリジェンスを活用し、自動化することによって、より素早いインシデントレスポンスを実現できるという。

 そして最後は、基本中の基本と言えることだが「自社にとって何が最も重要であり、ミッションクリティカルなのかを理解し、優先順位付けを行うことだ」(ヨラン氏)。

 ヨラン氏はあらためて、これらはいずれもテクノロジの問題ではなく、考え方の問題であると述べた。「既にテクノロジはある。世界は変わっているのに、われわれはまだ古い地図を頼りにしている。世界が変わっていることを認識すべきだ」(同氏)。

クラウド環境に透明性と可視性を

 二つ目の基調講演には、RSA Conferenceではおなじみの顔になりつつある、米マイクロソフトの副社長兼Trustworthy Computingの最高責任者、スコット・チャーニー氏が登場した。同氏はクラウドの浸透を背景に、「セキュリティ、信頼性、プライバシーという三つの柱に加え、透明性とコントロールという属性を追加しなくてはならない」と述べた。

米マイクロソフトの副社長兼Trustworthy Computingの最高責任者、スコット・チャーニー氏

 かつてビル・ゲイツ氏自らセキュリティに対する取り組みを表明したメールを送信し、同社がTrustworthy Comptuingに取り組み始めてから13年。その流れの中で、セキュリティモデルに大きな変化を与えた要因として、同氏が挙げたのはクラウドだ。クラウド環境は、オンプレミス環境には存在していた「境界」を取り去り、ビジネスのあり方に大きな変化を与えた。だが、善意のユーザーだけでなく、組織的なサイバー犯罪者やテロリストにも利用される可能性もある。

 チャーニー氏は「クラウドサービスプロバイダーに対して、ファブリック(インフラ)をどのように保護しているかを保護しているか、そしてファブリックからどのように保護されているかを確認しなくてはならない」と述べた。また、スノーデン事件によって、たとえ政府であっても必ずしも善意であるとは限らず、民間のデータにアクセスされる可能性があることが明らかになった以上、データの暗号化についても議論すべきという。こうした要素をも踏まえた「透明性とコントロールが必要だ」と同氏は強調した。

 こうした認識に立って、マイクロソフトはクラウドの透明性とコントロールを確保するための技術や製品を提供し始めているという。

 まず、IDとパスワードの運用にまつわる問題を解決するために、来るWindows 10では、Microsoft Passportと連動して二要素認証や顔、指紋を用いた生体認証が可能な『Windows Hello』という機能を搭載する予定だ。センシティブな生体情報は、TPM(Trusted Platform Module)を用いてハードウェア的に確実に保護するという。TPMはまた、安全なブートプロセスを確立する「信頼のルート」としての役割も果たす。

 一方、クラウドに関しては、Microsoft Azure上でハードウェアセキュリティモジュール(HSM)による鍵管理システムを提供し、顧客が独自の鍵を用いてコンテンツを暗号化できるようにする。また、Windows Azure上でパートナー各社のセキュリティアプライアンスも提供する予定だ。また、透明性の確保という観点では、Office 365で「Management Activity API」を提供し、クラウド上で何が起こっているかをモニタリングし、コンプライアンスの観点からチェックできるようにしていくという。

 チャーニー氏はこうした取り組みを通じて「透明性とコントロールを、実際にクラウドで提供していく」と述べた。

セキュリティ業界の「マネー・ボール」物語は実現するか

Intel Security Groupのゼネラルマネージャー、クリストファー・ヤング氏

 続いて、Intel Security Groupのゼネラルマネージャーを務めるクリストファー・ヤング氏が壇上に登場。これまで多額のセキュリティ投資が行われてきたにもかかわらず、問題が解決されていないことに触れ、「ゲームのあり方を変える勇気が必要だ」と呼び掛けた。

 ヤング氏のいう「新しいやり方」とは、データ分析に基づいて脅威に立ち向かう方法だ。その好例としてヤング氏は、オークランド・アスレチックスのゼネラルマネージャー、ビリー・ビーン氏のやり方を挙げた。

 ビーン氏は「セイバーメトリクス」と呼ばれる独自のデータ分析に基づいて選手を起用し、少ない予算の球団で目覚ましい成果を上げた。その経緯は映画「マネー・ボール」でも有名だ。

映画「マネー・ボール」のモデルになったビリー・ビーン氏も登場

 壇上にはビーン氏本人も登場し、伝統的でエモーショナルなやり方が重宝されがちなスポーツ業界において、データ分析に基づいて意思決定を下すことの難しさや、変革を進める上で内外のコラボレーションが果たす重要性を、体験者の立場で語った。こうした要素は、セキュリティ業界にも共通することだという。

 ヤング氏はこれを受けて、データの見方、情報の見方が重要になると述べた。「多くのデータを今までとは異なる見方で分析し、深い洞察に基づいて優先順位付けすることで価値を生み出すことができる」とヤング氏。情報の品質を高め、見方を変えることで、新しい洞察を得ることができると同氏は強調し、次のように会場に呼び掛けた。「内部の可視性を得ることによって、セキュリティ業界でもマネー・ボールのストーリーを現実のものにしていこう」(同氏)。

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。