ニュース
» 2012年02月20日 08時00分 UPDATE

Maker's Voice:SymantecのCTOに聞く、ソースコード流出事件とセキュリティ技術の今後

製品のソースコード流出が発覚したSymantec。企業に対する不正アクセスや標的型攻撃が急増する今、同社では情報セキュリティ技術をどのように進化させようとしているのか。セキュリティ部門最高技術責任者(CTO)のショーン・ドハティ氏が語った。

[國谷武史,ITmedia]
symantec0001.jpg Symantecセキュリティグループ最高技術責任者のショーン・ドハティ氏

 今年1月、米Symantecのセキュリティ製品のソースコードの一部が、不正アクセスによって外部に流出していた事実が明らかになった。不正アクセス自体は2006年初頭に発生したが、2012年になって攻撃を仕掛けたと表明する集団が出現。Symantecに対して盗み出したソースコード情報を公開する代わりに金銭を要求した。同社は刑事事件として捜査当局に告発し、対応を見守っている。

 セキュリティグループ最高技術責任者(CTO)兼バイスプレジデントのショーン・ドハティ氏によれば、流出したソースコードは、コンシューマ向けセキュリティソフトのNortonとリモートアクセスツールのpcAnywhereの一部という。ソースコードはユーザーを保護する機能に関する部分ではなく、一部製品は既に販売・サポートが終了したものであり、同社ではpcAnywhereについてはパッチを公開した。

 ドハティ氏は、2006年時点で同社は不正アクセスの発生を把握していたと話す。だが当時は攻撃者の正体や目的が分からず事件発生の事実のみを公表していた。2012年に入って攻撃者集団が行動を起こしたことで、2006年の事件と関係することが分かり、詳細情報を公開することになったとしている。

リスクの予兆検知が勘所

 サイバー攻撃の傾向は、不特定多数を狙うものから特定の企業や組織を狙う標的型へとシフトしつつあるといわれる。Symantecでの事件も標的型攻撃の一つとみることができるだろう。ドハティ氏は、こうした変化を踏まえ、あらゆるセキュリティリスクから同社のビジネスやユーザーを保護する取り組みを重ねてきたと強調する。

 「2006年の事件以降、当社のセキュリティ施策は大掛かりな変更を繰り返してきた。ここ3年ほどはDLP(情報漏えい対策)や暗号化などの新たな技術が多数加わったこともあり、そのペースが一段と加速している」

 同氏は、10年前はエンドポイントなどのインフラ保護に着目していたが、今では情報の保護に着目しているとも話す。ネットワークの境界でウイルスの侵入を防ごうとするような伝統的なアプローチでは、現在の脅威に対処できない。攻撃者の狙いは「情報」であり、今のセキュリティ対策には脅威を事前に察知することでリスクを軽減しつつ、最終的に情報資産を侵害されないようにする包括的なアプローチが求められる。

 Symantecではネットワークやサーバ、PC、モバイルといった社内のあらゆる部分でセキュリティ監査プロセスを適用し、DLPや暗号化によって情報資産の流出の悪用を阻止する体制を敷いているという。「“リスクベースアプローチ”を取っている。想定し得るあらゆるリスクをモデル化し、それに基づいた対応プロセスを自動化することで、人的リソースが限られた環境でも堅牢なセキュリティ対策を維持していく。仮にシステム管理者が脆弱なパスワードを設定してしまっても、システムでそれを検知して直ちにアラートを出す。機密情報が侵害される恐れを検知すれば、DLPでその兆候を監視するという具合だ」

セキュリティ対策とビッグデータ

 ドハティ氏は、同社のセキュリティ製品の大半にこうしたリスクの予兆(セキュリティイベントログなど)を検知する仕組みを導入しており、それぞれの製品が検知した兆候の相関関係を分析、可視化することで対処を可能にすると説明する。ただし、それには製品が常に発する大量の予兆データを分析するためのリソースが必要になる。

 この点は、最近話題の「ビッグデータ」(多種・大量データ)の活用にも共通する。ビッグデータ活用というと、企業の業績拡大といった効果などに注目が集まるが、セキュリティ対策では大量のイベントログの分析からリスクを予測して被害を未然に防ぐ(軽減する)ことが目的になる。

 Symantecを含めたセキュリティベンダーの多くは、世界中のユーザーから脅威情報を収集・蓄積する基盤を古くから構築していた。従来は集めた情報を定義ファイルの開発などに活用していたが、最近ではこれを一歩進め、レピュテーション(評価)サービスとして展開する。集めた情報を分析し、ユーザーがアクセスするWebサイトやダウンロードするファイルなどが安全か危険かを判断できる仕組みである。ドハティ氏は、リスクの予兆検知や分析にもこの仕組みを活用していくという考えだ。

 「クラウドベースアナリティクスの仕組みを当社では“Insight”という名称で企業向けに提供している。MapReduceによる分析基盤で、数千億件のイベントを6時間程度で分析する」(ドハティ氏)

 クラウドベースアナリティクスは、将来ますます求められるようになるという企業でモバイル導入が進んでいることや、社内事情に通じた内部関係者によるセキュリティ犯罪を未然に防ぎたいというニーズの高まりが背景にある。

 セキュリティの新しい課題が次々に出現しているが、上述のクラウド活用を始め、課題解決のための新たな技術もまた次々に実現させていくと同氏は意気込む。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -