RSAのコビエロ会長が語る「ビッグデータ型セキュリティ」

EMCセキュリティ部門トップのアートコビエロ氏が会見。「セキュリティの脅威と伝統的な対策との間に生じたギャップを埋める新たなモデルが必要だ」と述べた。

[國谷武史，ITmedia]

　米EMC上級副社長とセキュリティ部門RSA Security会長を務めるアート・W・コビエロ氏が来日。3月19日にEMCが開いたメディア懇談会に登壇し、ITセキュリティを取り巻く脅威の現状やセキュリティ対策のあり方などについてコメントした。

ギャップが広がる

　コビエロ氏は、「この10年でサイバー攻撃の対象が拡大した」と述べた。IT環境の変化を2001年と2013年を比較すると、デジタルコンテンツのデータ量は1エクサバイトから1〜2ゼタバイトに、アプリケーション環境はクライアントサーバ型からWebベースに、組織ネットワークにリモートアクセス機器もノートPCからスマートフォンやタブレット端末という具合に変化。2001年当時にほとんど無かったソーシャルメディアも急成長し、「Facebookはユーザー数で（中国、インドに次ぐ）世界第3位の国家だ」という。

　また、「ビッグデータ」と呼ばれる多種・大量のデータを指す概念も登場。「2013年だけでも10億台の機器がインターネットにつながっている。携帯電話や自動車、自動販売機などだ。IPv6も広がり、これらはもっとも増えていく。これらは良い動きであり、コミュニケーションをいかに早くできるかによって、生産性や効率性の向上につながる」と語った。

セキュリティ業界の“重鎮”としても知られるコビエロ氏

　こうしたIT環境の変化は、同時にサイバー攻撃にも変化をもたらす。2001年ごろのサイバー攻撃者は、スクリプトベースの不正プログラムを作成したり、DoS（サービス妨害）攻撃を仕掛けたりして、企業活動を「邪魔」する程度だったという。「2005年まで高度なサイバー攻撃は存在しなかった。しかし、今はAPT（高度で持続的な脅威）やマルチステップ型の攻撃があり、国家とサイバー攻撃者の結びついているケースもある」

　特にAPTは、「未知のマルウェアを使うだけではない。攻撃者は入念に調査を繰り返し、多くの資金を投じて攻撃している。APTではマルチステージで標的に近づいていく。企業が攻撃されたとニュースになるが、攻撃者はその踏み台にしただけというケースもあり、実際は標的に近づくために何社も攻撃している」という。その結果として、サイバー攻撃の対象が拡大。「サイバー攻撃者はかしこくなった」とのことだ。

　コビエロ氏は、サイバー攻撃の高度化によってここ4〜5年の間に、防御と攻撃のギャップがますます広がったと指摘する。それは、セキュリティモデルに問題があるといい、従来の対策は過去に起きた「既知」の脅威の防御に主眼が置かれてきた。

　「このモデルは企業の内と外のぺリメータ（境界）を守るためにあった。かつては入口と出口はごく狭い範囲だったが、今ではモバイルやクラウドの登場によって、みえなくなってきた。静的・縦割り型という性質もあり、対策の一つひとつは個々の脅威に備えるためだけにあって、別の対策には作用しない」と指摘している。

新たなセキュリティモデルを

　コビエロ氏は、上述の変化の中から「インテリジェンス駆動型のセキュリティモデル」が生まれているとも語った。このモデルは、セキュリティのリスクを徹底して理解することから始まる。企業の内側からだけでなく、外側からの視点も必要とされ、「攻撃者がどういう方法で仕掛けてくるのかを考えてみるべきだ」という。

　「IT部門に加え、ビジネス部門単位や個人単位で自分たちの環境を適切に管理しなくてはいけない。動的で俊敏なコントロールによって脅威に対応する。自己学習を通じて、個々のコントロールが相互作用し、良い防御を実現できるようにしなくていけない。ビッグデータをセキュリティ管理システムに取り込み、脅威を理解できる仕組みが実現しつつある」

　ビッグデータをセキュリティ対策に利用するというアプローチは、近年にセキュリティベンダーが相次いで提唱し始めた。そこでは、企業の情報システムを構成するさまざまなコンピュータやネットワーク、機器が出力する膨大なログ情報などを分析して、サイバー攻撃が疑われるかすかな兆候を見つけ出すこことされる。

　コビエロ氏は、「ログを集めて分析するだけでは無い」とコメント。インテリジェンス駆動型のセキュリティモデルについて、「通信内容やシステム上の挙動も監視する、あるいは危険なIPアドレスのリストも参考にするというように、ありとあらゆる情報を取り込み、相互に分析する。こうすることで攻撃を発見し、すぐに対応できる仕組みだ。それがここ数年で可能になってきた」と説明した。

　インテリジェンス駆動型のセキュリティモデルは、「脅威に侵害されること」を前提にする。従来のセキュリティモデルは、「脅威に侵害されないこと」が前提だったという。コビエロ氏は、「（攻撃側が優位という状況に）ゲームチェンジが起こりつつある、われわれは脅威を避けることだけに軸足を置かず、脅威があり、それを検知して対応していく能力を身につけなくてはならない」と述べた。

　しかし、企業や組織が新たなセキュリティモデルを取り入れるには4つの障壁――1.予算の使い方、2.セキュリティ技術者の不足、3.不十分な情報共有、4.対策技術の未熟さ――あるという。「企業はセキュリティ予算の7割を脅威の予防に費やし、2割を検知、1割を対応に割いている。これを平均的に配分しないといけない」と指摘する。また、3についてはセキュリティベンダー、さらには、国家レベルでサイバーセキュリティに関する膨大な情報を共有する。「インテリジェンスには情報が必要だ、情報ソースが無いと機能しない」と話している。

　最後にコビエロ氏は、同社の取り組みとしてセキュリティアナリティクス基盤製品や認証システム製品の最新版「RSA Authentication Manager 8.0」を、日本市場では2013年第2四半期に提供すると発表。RSA Authentication Manager 8.0は、正規のユーザーとは異なる不審な振る舞いを検知して不正アクセスを防ぐ「リスクベース認証」機能を搭載する。

　また、同社は2010年10月にクリックストリームデータを保有する米Silver Tail Systemsを買収。クリックストリームとは、Webサイト訪問者がどのようにWebページを閲覧したのかという軌跡で、この情報をセキュリティ対策の観点から分析すれば、ネットユーザーの行動がみえてくるという。その中からマルウェアによる通信といった悪意のある行動を検知できるようにするのが狙いだ。

　コビエロ氏は、「セキュリティは新しい時代になる。ここ数年に生じたギャップを埋めていけるだろう」と語っている。