2015年に発生した日本年金機構に対する標的型攻撃を機に、ようやく「侵入を100%防ぐことは不可能だ」ということが認識され始め、「事故前提型の対策」に目が向けられるようになった。その状況は米国でも変わらないようだ。ヨラン氏は基調講演の中で「予防に力点を置くセキュリティ戦略は失敗に終わった」と指摘し、脅威のモニタリングやレスポンスといった分野に投資をシフトしていくべきだと述べている。
RSA Conferenceには、アンチウイルスやファイアウォール、サンドボックス、次世代ファイアウォールといった予防型セキュリティソリューションを提供するベンダーが少なからず参加している。だが、「こうした予防型テクノロジーは有効に機能しないことに、皆がうすうす気付いているはずだ。『有効に機能する予防戦略を提供できる』と堂々と言える参加者はどれだけいるだろうか」とヨラン氏は指摘。「The Sleeper Awake」という講演タイトルの通り、セキュリティ業界全体が夢から覚め、戦略を変えるべきだと呼び掛けた。
ヨラン氏が代わりに注力すべき分野として挙げたのが、脅威の「モニタリング」と「レスポンス」だ。RSAが160の組織・企業を対象に行った調査によると、回答者の90%は、インシデントを検知するまでのスピードに満足していないそうだ。その背景には、さまざまなセキュリティシステムが複雑につながっており、全体をすぐに把握できない現状がある。これに対し同社では、広範な可視性を提供することにより、現在進行形で「何が起きているか」を理解し、迅速に対処できるよう支援するという。
「ログだけでは不十分だ。フルパケットキャプチャーによるネットワークの状態やエンドポイントの兆候も含めて可視化し、何が起こっているかを正確に把握することによって、洞察に富んだ分析結果を得て、巧妙なインシデントを見つけ出すことができる」(ヨラン氏)。認証情報の管理とモニタリングも、可視化に当たって重要な要素になるという。
同社はこの目的に向け、セキュリティ分析プラットフォーム「RSA Security Analytics」に、「振る舞い分析エンジン」を追加することを発表した。一種のAI(人工知能)テクノロジーにより、不審な外部サーバとの通信やWindows上のアカウント権限の昇格といった通常とは異なる動きを検出。セキュリティ担当者が問題を絞り込み、すぐさま調査・対処できるよう支援する。
RSA Confrence 2016では、同社に限らず「AI」や「機械学習」という言葉が、バズワード的に飛び交っている。ヨラン氏はそれを踏まえて、AIだけでは解決できない問題もあると説明した。
例えば、グーグルが開発したAI「AlphaGo」が囲碁の対決で人間に勝ったことが話題になったが、これは定められれた盤面上で決まったルールに従って進められる「囲碁」というゲームでの話。セキュリティの場合はフィールドもルールも異なる。しかも相手にするのは「人間」だ。それも、優れた技術と創造性を持ち、時には忍耐強く、同じルールに従うとは限らない人間を相手に戦わねばならない。
こうした問題を解決するのは、「われわれ人間が持つ創造性や好奇心、自由な発想だ」とヨラン氏は述べ、攻撃者に対する「ハンター」となり得る人材を育てていくことが重要だと述べた。可視化ツールに代表されるテクノロジーは、日々のルーティンやタスクを自動化することで、人間が創造性や好奇心を生かし、伸ばしていく手助けになるという。
最後にヨラン氏は「サイバーワールドは危険な場所だが、それを避けることはできない。生き延びるためには計画と準備が必要だ」と語り、時には組織にとって「無法者」に思えるような人材も含めた多様な視点や創造性を生かしていくべきだと呼び掛けた。
「人材育成」という意味で興味深かったのは、インテル セキュリティのシニアバイスプレジデント兼ゼネラルマネージャー、クリストファー・ヤング氏の基調講演だ。同氏は、セキュリティ業界が直面する課題の中から「脅威インテリジェンスの共有」と「サイバーセキュリティ人材不足」を取り上げ、それぞれの分野における取り組みを紹介した。
近年、脅威情報の共有が重要であると指摘されてきたが、現在のところ、なかなか実効性ある体制の確立には至っていない。ヤング氏はその理由を、競合する企業間での有志に頼ったチャリティ活動になっているからだと指摘し、「ビジネスモデルを変えていく必要がある」と述べた。
具体的な取り組みの一つが、同社がシマンテックやパロアルトネットワークスといった同業他社とともに立ち上げた「Cyber Threat Alliance」だ。当初は脅威全般を対象に情報共有を図っていたが、芳しい成果は挙げられなかった。そこで方針を転換し、ランサムウェア「CryptoWall version 3」にフォーカスを絞って情報共有に取り組んだ結果、4000以上の検体を収集し、包括的なレポートを公開することができたという。
同氏はこうした経験を踏まえ、セキュリティ業界はデータそのもので競争するのではなく、その使い道で差別化を図るべきだと述べている。「われわれが全ての答えを持っているわけではない。より多くの視点が加わり、共有できれば、より多くの価値を生み出すことができる」(ヤング氏)
もう一方の人材不足も深刻な問題だ。ヤング氏によると、米国では現時点で20万人分のセキュリティ人材が不足しているという。これは日本を含む世界共通の問題であり、2020年には全世界で約200万人のセキュリティ人材が足りなくなるとの試算もあるという。ヤング氏は、官民の協力を通じて、より多くの人を巻き込んでいく必要があると訴えた。
米国における人材発掘・育成の取り組みの例が、SANS Instituteが展開している「NetWars」や、米国政府が主導する「Cybercops」といったプログラムだ。さらに同氏は、産学共同のメンターシッププログラムも紹介した。米インディアナ州のパデュー大学では、学生が専門家とともにセキュリティオペレーションサービスに携わり、州のセキュリティ運用を支援しつつ初歩的なスキルを磨くプログラムを展開している。
ヤング氏の講演ではこのプログラムに参加している学生の一人がステージに登場し、「問題の解決策を探すのは、パズルのようでとても面白い。新たなものの見方やアイデアを得られるこうしたチャンスを、より多くの学生に提供してほしい」とコメント。ヤング氏は、産官学が連携して、こうした人材の育成を後押ししていくことが重要だと呼び掛けた。
Copyright © ITmedia, Inc. All Rights Reserved.