RSA Conference 2012の基調講演で業界に「集合知」を呼び掛け

RSAのコビエロ氏、「ネットワークは侵害され得るものと考えよ」

2012/02/29

　米国サンフランシスコで、セキュリティをテーマとするカンファレンス「RSA Conference 2012」が始まった。2月28日の基調講演に登場した米EMC エグゼクティブバイスプレジデント兼RSAエグゼクティブチェアマンのアート・コビエロ氏は、セキュリティ業界に向けて「集合知」の必要性を訴えた。

米EMC エグゼクティブバイスプレジデント兼RSAエグゼクティブチェアマンアート・コビエロ氏

　同氏は過去のRSA Conferenceの基調講演でも、従来型のセキュリティ対策――境界型セキュリティやシグネチャベースのセキュリティ、つぎはぎ型のセキュリティ――がもはや有効性を失いつつあることを指摘してきた。今回もコビエロ氏は、こういったセキュリティは「時代遅れ」であると述べた。

　その理由はいくつかある。1つは、IT環境の変化だ。モバイル機器の普及などによってITインフラは高度に相互接続され、よりオープンになった。だがそれは、攻撃者にとっても同様だ。攻撃者がITのオープン性を逆手にとって、矢継ぎ早に巧妙な脅威を生み出す一方で、セキュリティ業界のレスポンスは出遅れている。この「ギャップ」が悪用されてしまっている状態だという。

　また、ITのコンシューマライゼーションにより、政府や企業よりも、個々の従業員の方が素早く新しいテクノロジを手に入れ、活用している。この結果、IT部門が直接管理できない範囲が広がった。「われわれは、直接コントロールできないものをセキュアにするという、今までにない課題に直面している」（コビエロ氏）。

　コビエロ氏は合わせて、2011年3月に同社を襲ったセキュリティ侵害についても触れた。いまや数多くのセキュリティ企業が、さらなる攻撃の「足がかり」とするためにターゲットになっており、実際に攻撃を受けている。コビエロ氏は、この攻撃の教訓を生かし、今後の技術革新に反映させていきたいと述べた。

「ビッグデータ」の力で敵を見つけ出せ

　こういった背景から、セキュリティに対する考え方を変えなくてはいけないとコビエロ氏は語った。「ネットワークは侵害され得るものとして考えるべきだし、ユーザーはミスをするものだ」（同氏）。

　この考え方に基づくと、従来型のセキュリティ対策ではなく、リスクを受容可能なレベルにまで押し込めるアプローチが必要になる。さまざまな情報を収集して何が起こっているかを把握し、危険の兆候を察知することが重要だ。そのための仕組みとしてコビエロ氏は、「インテリジェンスベースのセキュリティシステム」「インテリジェンス駆動型セキュリティシステム」を提案した。

　この仕組みには3つの要素が求められる。1つは「リスクベース」であること。これは同氏が従来から提唱してきたモデルだが、社内にどういった資産や価値があり、どんな脆弱性があるかを把握するとともに、広範な外部の情報（インテリジェンス）と付き合わせていく作業が必要になる。

　2つ目は「迅速性」だ。高度化、巧妙化する一方の攻撃に対して、俊敏に対応できる必要がある。これを実現するには、システムを可視化し、継続的なモニタリングを通じて通常とは異なる挙動をリアルタイムに見つけ出し、リスクを緩和していくことが必要という。

　最後の要素は「コンテキスト（文脈）ベース」であること。これを実現するツールとしてコビエロ氏は、「ビッグデータ」を挙げた。ビジネス分析といった分野で言及されることの多い単語だが、セキュリティ業界でも有用だと同氏。さまざまなソースからログデータを集約し、相関分析を加えることで、これまで得られなかった知見を迅速に手にし、「敵」をすばやく見つけられるようになる。結果として、コンテキストに応じて対応する能力が手に入るという。

　コビエロ氏は、こうした新しい取り組みを通じて脅威に関するクリティカルな情報、ひいては「インテリジェンス」「知見」を業界全体で共有し、コラボレーションしていくことが、セキュリティ業界にとって重要であると述べ、講演を締めくくった。