NewsInsight

RSAが標的型攻撃から学んだこと

防御だけでなく侵入後の「検知」「回復」にも注力を、米RSAのCTO

2012/03/08

　米EMCのセキュリティ部門、RSAは、先週開催されたRSA Conference 2012に合わせて、いくつか新製品をリリースしている。ネットワーク監視製品「NetWitness」を強化する、脅威情報共有サービス「NetWitness Live」や、モバイル認証技術の統合などがその例だ。その背景にある脅威の傾向について、RSAのCTOを務めるブレット・ハートマン氏に聞いた。

Q：以前から話題になっていたAPT、あるいは標的型攻撃ですが、日本でも昨年被害が明るみに出て、対策の必要性が叫ばれるようになりました。またEMC自身も、APTのターゲットとなりましたね。教訓を挙げるとすれば何でしょうか？

ハートマン：APTは世界中で増えています。当初、APTは政府機関および政府と契約している企業をターゲットにしていました。しかし最近では、知的財産を所有している企業が狙われるようになっています。つまり、知的財産を持っているところならば、あらゆる組織が標的になる可能性があるのです。

　この変化を踏まえると、セキュリティ保護の戦略を変え、バランスを再構築する必要があります。

　これまでわれわれは、脅威に入り込まれないようにする防御策、防止策に力を注いできました。むろん、防御が重要であることに変わりはありません。けれど、それだけでは完全を期することはできないことを我々は学びました。たとえアンチマルウェアソフトなどの防御策を講じても、ゼロデイ攻撃を検出し、防御することはできないのです。

　従って、もし防御に失敗し、システムに侵入されたときにどうすべきなのか、どのようにセキュリティ侵害を管理していくかに注力する必要があります。そこで、検知メカニズムを強化し、侵入されたことを検知し、緩和し、回復するというプロセスに力を入れることを推奨しています。

　たいていの組織は、実際に攻撃を受けたとしても、その事実を把握できていません。自分では攻撃に気付かず、第三者からの通報を受けて初めて気付く状況です。そこでRSAでは、このような検知を支援するサービスを提供しています。ある組織でクレデンシャル（認証などに用いられる資格証明書）が盗まれたときに、それをレポートするというものです。

　また、先日のRSAに対する攻撃で我々は攻撃者を発見し、特定することができました。これは、後の復旧作業においてとても重要なことです。早期に攻撃を発見することによって、さらなるダメージを防ぐことができます。

　攻撃を発見する方法はいくつかありますが、その1つがNetWitnessです。NetWitnessはネットワークパケット情報を収集し、何が起きていたかを把握できます。

　例えば攻撃者は侵入すると、ファイルをコピーするなどして外部に持ち出そうとします。その際、自分が侵入した証拠を消し去ることもしばしばです。NetWitnessはすべてのパケット情報を収集するので、どんなファイルがコピーされたのかまで再構成可能です。これは、ネットワークフォレンジックやe-ディスカバリーにも有効です。このような背景があって、急速に成長しています。

　要約すると、いままでも講じてきた防御のメカニズムと、検知、回復のメカニズム、この2つのバランスをとることが重要です。

Q：最近の脅威は高度化していて、検出はますます困難になっていますが。

ハートマン：毎日のようにゼロデイがやってきます。WindowsにしてもMacにしても、いまのアプリケーションはとても複雑でコード数も多く、脆弱性をなくすことはとても困難です。どうしても脆弱性は残ってしまいます。また、世界中の組織が、新しいゼロデイ脆弱性を発見しており、それを使った攻撃が登場しています。この作業は永遠に続くわけです。

　それゆえに、攻撃が起こった後に検知する部分へ注力すべきというわけです。外部から侵入してきた攻撃を特定し、ダメージを抑えることが必要になります。

Q：モバイル環境でのセキュリティ対策についても聞かせてください。欠けている要素はありますか？

ハートマン：モバイルデバイスのセキュリティは、あらゆる企業にとってとても大きな問題です。モバイル環境のリスクはとても大きくなっています。しかもモバイルには、アップルのiOSやAndroid、Windowsなど異なるプラットフォームがあり、すべてを同じようにカバーするセキュリティ製品は今のところありません。

　具体的には3つの問題点があると考えています。いずれも少しずつ改善はされていますが、やるべきことはまだ多く残っています。

　1つ目はモバイルデバイスの管理です。デバイスを適切に設定し、適切なアプリケーションをインストールさせ、それぞれをコンテナに入った状態で保護しなければなりません。コンシューマー向けアプリと、従業員として利用する業務用アプリは分ける必要があります。それが今回、我々がGood Technologyやシトリックス、VMware、ジュニパーネットワークスなどいくつかの企業とパートナーシップを結んだ理由です。

　2つ目は認証です。モバイルデバイスを使っているとき、あなたが何者であるかを示す仕組みですね。これは、RSAにとって中核事業です。ここで大切なことは、複数のクレデンシャルを使って、コンテキストやリスクに基づく認証を行うことです。また、複数の要素を用いることで、モバイルでの認証をより強固なものにもできます。

Q：シングルサインオンとは違うのでしょうか？

ハートマン：シングルサインオン以上の機能を提供するものです。例えば、ユーザーがどこでデバイスを使っているか――地理的な位置、仕事なのかプライベートなのか。また、どのように使っているか――どんな無線接続を使って、どんなアプリを使って、どのWebサイトにアクセスしているか――こういった要素をすべてに基づいてリスク評価を行い、そのスコアに基づいて認証方式を変えるのです。場合によっては、顔や指紋、署名などを用いたバイオメトリクス認証を組み合わせることもできます。

　認証は将来的には、パスワードを入力して終わりといった一度限りのものではなく、デバイスを使っている限り常に行われる、継続的なプロセスになるでしょう。複数の異なるクラウドサービスに対して、クレデンシャルに応じてフェデレーションを行うといった使い方です。

　3つ目の要素は、ハードウェアを用いて「信頼のルール」をより強固にするというものです。もしモバイルデバイスがマルウェアなどに感染すると、パスワードや暗号鍵、クレデンシャル情報が盗まれてしまう可能性があります。そこで、ハードウェア的な保護を組み合わせることで、より強固にするわけです。現在我々は、ハードウェアベンダとともに、Trusted Platform Module（TPM）を組み込むための共同作業を行っています。