RSA Conference 2012の基調講演で業界に「集合知」を呼び掛け
RSAのコビエロ氏、「ネットワークは侵害され得るものと考えよ」
2012/02/29
米国サンフランシスコで、セキュリティをテーマとするカンファレンス「RSA Conference 2012」が始まった。2月28日の基調講演に登場した米EMC エグゼクティブバイスプレジデント兼RSAエグゼクティブチェアマンのアート・コビエロ氏は、セキュリティ業界に向けて「集合知」の必要性を訴えた。
同氏は過去のRSA Conferenceの基調講演でも、従来型のセキュリティ対策――境界型セキュリティやシグネチャベースのセキュリティ、つぎはぎ型のセキュリティ――がもはや有効性を失いつつあることを指摘してきた。今回もコビエロ氏は、こういったセキュリティは「時代遅れ」であると述べた。
その理由はいくつかある。1つは、IT環境の変化だ。モバイル機器の普及などによってITインフラは高度に相互接続され、よりオープンになった。だがそれは、攻撃者にとっても同様だ。攻撃者がITのオープン性を逆手にとって、矢継ぎ早に巧妙な脅威を生み出す一方で、セキュリティ業界のレスポンスは出遅れている。この「ギャップ」が悪用されてしまっている状態だという。
また、ITのコンシューマライゼーションにより、政府や企業よりも、個々の従業員の方が素早く新しいテクノロジを手に入れ、活用している。この結果、IT部門が直接管理できない範囲が広がった。「われわれは、直接コントロールできないものをセキュアにするという、今までにない課題に直面している」(コビエロ氏)。
コビエロ氏は合わせて、2011年3月に同社を襲ったセキュリティ侵害についても触れた。いまや数多くのセキュリティ企業が、さらなる攻撃の「足がかり」とするためにターゲットになっており、実際に攻撃を受けている。コビエロ氏は、この攻撃の教訓を生かし、今後の技術革新に反映させていきたいと述べた。
「ビッグデータ」の力で敵を見つけ出せ
こういった背景から、セキュリティに対する考え方を変えなくてはいけないとコビエロ氏は語った。「ネットワークは侵害され得るものとして考えるべきだし、ユーザーはミスをするものだ」(同氏)。
この考え方に基づくと、従来型のセキュリティ対策ではなく、リスクを受容可能なレベルにまで押し込めるアプローチが必要になる。さまざまな情報を収集して何が起こっているかを把握し、危険の兆候を察知することが重要だ。そのための仕組みとしてコビエロ氏は、「インテリジェンスベースのセキュリティシステム」「インテリジェンス駆動型セキュリティシステム」を提案した。
この仕組みには3つの要素が求められる。1つは「リスクベース」であること。これは同氏が従来から提唱してきたモデルだが、社内にどういった資産や価値があり、どんな脆弱性があるかを把握するとともに、広範な外部の情報(インテリジェンス)と付き合わせていく作業が必要になる。
2つ目は「迅速性」だ。高度化、巧妙化する一方の攻撃に対して、俊敏に対応できる必要がある。これを実現するには、システムを可視化し、継続的なモニタリングを通じて通常とは異なる挙動をリアルタイムに見つけ出し、リスクを緩和していくことが必要という。
最後の要素は「コンテキスト(文脈)ベース」であること。これを実現するツールとしてコビエロ氏は、「ビッグデータ」を挙げた。ビジネス分析といった分野で言及されることの多い単語だが、セキュリティ業界でも有用だと同氏。さまざまなソースからログデータを集約し、相関分析を加えることで、これまで得られなかった知見を迅速に手にし、「敵」をすばやく見つけられるようになる。結果として、コンテキストに応じて対応する能力が手に入るという。
コビエロ氏は、こうした新しい取り組みを通じて脅威に関するクリティカルな情報、ひいては「インテリジェンス」「知見」を業界全体で共有し、コラボレーションしていくことが、セキュリティ業界にとって重要であると述べ、講演を締めくくった。
情報をお寄せください:
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。