鍵は「可視化」──RSAが推進する「ビジネスドリブンセキュリティ」の狙い：RSA Conference 2017レポート（2/2 ページ）

RSAが同社の年次イベント「RSA Conference 2017」で幾つかの製品の機能強化を発表。コンセプトとして示した「ビジネスドリブンセキュリティ」の意図を軸に、キーパーソンが企業の重要課題として今後推進すべきセキュリティ対策の方向性を提言した。

[高橋睦美，＠IT]

可視化した状況にインテリジェンスを組み合わせ適切な判断を

防止が困難な脅威が増えており、検知と対応の仕組み作りが求められると述べたRSA First Watch シニアマネージャー アレックス・コックス氏

　RSA NetWitness Suiteでは、ネットワークのログとエンドポイントから得られた情報を収集する。「断片を相互につなぎ合わせて相関分析を行い、不審な動きをセキュリティチームに通知する。感染が疑われるマシンを速やかに特定して対策をとったり、フォレンジック作業を行える」とコックス氏はその特徴を述べた。

　いざというときに素早く対応するには、継続的なモニタリングと同時に、「レスポンス計画」の立案も重要だとノールズ氏は指摘する。従業員が何をどのように行うか、顧客やプレス、関係省庁へ何をどのように伝えるかなど、やるべきことは多いが、「残念ながら今のところ、インシデントレスポンス計画を立案している企業は、全世界でも30％足らず」（ノールズ氏）ということだ。

　その上、計画はあるものの「その3分の2は、計画があっても訓練していない。火災訓練と同じことだが、いざというときに何をすべきかを把握していなければ、動きようがない。逆に、何か異常があったときに、誰に何を通報すべきかが分かっていれば、その分、対応に要する時間を縮小できる」（ノールズ氏）

　将来的には、SOC（Security Operation Center）とそれ以外の仕組みを連携させ、「インシデントレスポンスのオートメーションを実現していきたい」とゲイヤー氏は述べている。

　RSAではまた、脅威インテリジェンスの提供を通じて一連のプロセスを支援していくという。

　First Watchでは、Webサイトで公開されているツールを改ざんし、ダウンロードした組織への侵害を試みる「KINGSLAYER」「SCHOOLBELL」といった攻撃キャンペーンについて報告している。これらの攻撃はWindowsの正規ツールを改ざんして感染するため、既存のウイルス対策ソフトウェアやIDS／IPS（不正侵入検知・防御システム）では検出が困難だ。特徴を踏まえて同社はこれを「サプライチェーン攻撃」と分類し、注意を呼び掛けている。

　このケースは一例だが、コックス氏は今後もマルウェアやサイバー犯罪者らの動きを監視し、RSA NetWitness Suiteなどのナレッジに反映することで、対応を支援していくとした。

　同時に、業界全体でセキュリティレベルの底上げを図るために、「脅威インテリジェンス情報のオープン化」の動きも進めている。既に同社は「RSA Live Connect」を通じて、脅威インテリジェンス企業から提供される情報を取り込み、活用している。ゲイヤー氏は他にも、米国の「Neighborhood Watch」プログラムにおいて、匿名化した上でIoC（Indicators of Compromise）をクラウド上で共有したり、Cyber Threat Alliance（CTA）を支援するといった形で「セキュリティコミュニティー全体を、より安全にしていく」と述べた。

　なお今回のRSA Conference 2017では、同カンファレンスとして初めての試みとして、カンファレンス会場内で提供される無線ネットワークのトラフィックを監視し、RSA NetWitness SuiteやCisco AMPを用いて可視化するSecurity Operation Center（SOC）を設け、リアルタイムに状況を表示していた。

RSA Conference 2017の会場に設けられた「Security Operation Center」