予防至上主義からインテリジェンスに基づくセキュリティへ、RSA:「既知の未知」や「未知の未知」の脅威に対処
米EMC エグゼクティブ・バイスプレジデント兼RSAのエグゼクティブ・チェアマンを務めるアート・コビエロ氏が来日し、セキュリティ市場の動向と同社の取り組みについて説明した。
「今やゲームのルールは変わった。脅威を完全に防ぐことはできない。予防にのみ力を注ぐのではなく、何か異常があったら速やかにそれを検知し、隔離や無効化といった対処を迅速に行えるようにしなければならない」――。
3月19日、米EMC エグゼクティブ・バイスプレジデント兼RSAのエグゼクティブ・チェアマンを務めるアート・コビエロ氏が来日し、セキュリティ市場の動向と同社の取り組みについてプレゼンテーションを行った。同氏は、ログをはじめとする大量のデータの相関分析、つまりビッグデータ分析に基づくインテリジェンス駆動型のセキュリティを実装していくべきだと呼び掛けた。
コビエロ氏はまず、インターネット利用者の増加やデバイスの多様化、ソーシャルメディアの普及といった、ITを取り巻く環境の変化によってさまざまなメリットがもたらされたが、それは悪意ある攻撃者をも利するものだと指摘した。この結果、攻撃側と防御側に「ギャップ」が生まれ、広がってしまっているという。
その主な原因は、既存のセキュリティ対策モデルにあると同氏。「既存のセキュリティ対策は、何かがやってきたらそれに対処するというリアクティブモデルを取っていた。しかも、企業とインターネットの間に明確な境界が存在するという境界型防御モデルに基づいていた」(コビエロ氏)。しかし、ゼロデイ攻撃や標的型攻撃の増加、モバイルデバイスやクラウドの普及などによって、その前提は崩れ去っている。
こうした変化を踏まえて、企業はインテリジェンス駆動型のセキュリティモデルを採用すべきだと同氏は述べた。同氏が言うインテリジェンス駆動型のセキュリティとは、ログやデータ/パケットフロー、あるいは企業を取り巻く脅威の動向など、多様かつ大量のデータを分析し、その中から通常とは異なる振る舞いが見つかれば、必要に応じて認証などのコントロールを実施していく仕組みを指している。
既存のセキュリティソリューション、例えばシグネチャファイルに基づくウイルス対策ソフトは、「既知の脅威」には有効だ。しかし、「知られている未知の脅威(ゼロデイ攻撃につながる恐れのある脆弱性や手法)」、さらには「本当に知られざる未知の脅威」までは検出するのは不可能。この部分を補うのが、インテリジェンス駆動型のセキュリティだという。
同社も、この構想を実現するためのツールとして、セキュリティ管理プラットフォームの「RSA Security Analysis」などを提供していく計画という。
こうしたアプローチはこの1〜2年提唱されるようになったが、コンピューティング能力の向上やストレージ容量の拡大、アルゴリズムの進化といった技術進歩によって、コンセプトだけにとどまらず、現実のソリューションとして提供できるようになってきたとコビエロ氏は述べた。ただ一方で、依然として「予防」に偏りがちな企業のIT予算の配分、セキュリティ人材の不足、そして企業の枠組みを超えた情報共有など、課題もまだ残るとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- セキュリティ対策+ビッグデータ=?
米EMCセキュリティ部門RSAが主催するセキュリティ業界最大級のイベント「RSA Conference 2013」のハイライトをお届けする。 - 「データ」と「インテリジェンス」の違いとは