脅威から機密情報を守り抜くEMCの社内セキュリティ実践：最高セキュリティ責任者に聞く（1/2 ページ）

最先端技術や重要な顧客などの情報を狙う脅威に日々どう対応すれば良いのか。EMC最高セキュリティ責任者のデーブ・マーティン氏は、情報の収集・分析・活用が重要だと説く。

[聞き手：國谷武史，ITmedia]

　サイバー攻撃や内部不正など企業や組織の情報資産は様々なセキュリティの脅威に絶えず晒されている。大切な情報を守るには日々どのような対応が求められるのか。米EMCでは深刻な脅威に対応する「クリティカル インシデント レスポンス センター（CIRC）」を組織している。CIRCを統括するバイスプレジデント 最高セキュリティ責任者のデーブ・マーティン氏にEMC社内のセキュリティ対策について聞いた。

――　CIRCの活動を教えてください。

EMC バイスプレジデント 最高セキュリティ責任者のデーブ・マーティン氏

マーティン　CIRCは様々な脅威に対応してEMCの組織を守っています。現在の脅威はスパイ行為や活動家による攻撃など多様化しています。従来のエンタープライズセキュリティは脅威を予防・遮断するものでしたが、今では脅威を検知し、分析を通じて適切な対応をすることが求められています。

　CIRCではシステムやネットワーク、アプリケーション、セキュリティシステムなどから社内からログを集め、その状況の可視化しています。また、社外から提供される脅威の動向やマルウェアのシグネチャといった様々な情報も収集しています。こうして集めた情報をもとに分析を行い、脅威を検知するための定義やルールの設定、調整を行います。

　例えば、第三者が正規のユーザーになりすまし、悪意のある行動としていると疑われる兆候を「異常行動」として検知したとします。CIRCではアナリストがこの振る舞いがどのようなものであるかを詳しく分析し、結果的に正規のユーザーによる行動なら、システムの検知ルールや設定を修正します。一方、なりすましによる悪意のある行動だと分かれば、これをセキュリティイベントとして識別できるようにし、その他のユーザーアカウントでも同様のイベントが発生しているかどうかを調査していきます。

　CIRCでは人、データ、テクノロジーとプロセスを組み合わせた分析に注力し、分析した情報はセキュリティインシデントへの対応における最適なワークフローの実現や、脅威をより深く理解するためにも活用します。また、社外のコミュニティや企業、時には政府機関とも共有しています。

　我々は守る側ですが、インシデント対応では攻撃側の視点を持つことも重要です。攻撃者はどのようなインフラや手段を持っているのか、何を標的に攻撃しているのかといったことを把握できれば、攻撃者の次の行動を予見でき、新たな脅威を未然に防ぐ対応ができるようになります。

――　EMCにとって情報セキュリティ上の最大の脅威は何んでしょうか。

マーティン　当社の知的財産に興味を持ち、入手しようとするもの全てです。知的財産には製品やサービス、顧客情報、社員情報、財務情報などがあり、これらを守ります。

――　古くからセキュリティ対策を講じてきたと思いますが、CIRCを設立した経緯をお聞かせください。

マーティン　多くの企業では何かしらの重大なインデント発生を受けて臨時の対応チームを組織しています。EMCの場合、まず2005年頃からセキュリティイベントやインシデントの情報を一元化し、セキュリティオペレーションセンター（SOC）を構築しました。

　SOCの役割は2つあり、1つはネットワーク上のトラブルの解決や問題を修正すること、もう1つはシステムの監視です。システムの監視はリソースに余裕はあれば実施するつもりでしたが、実際はネットワークの対応だけで手一杯になってしまい、そこで監視を専門的に行うCIRCを組織しました。

　当初、CIRCは平日の業務時間帯にシグネチャベースの監視をしていました。対応フローなどの自動化もあまりできていませんでした。そこから徐々に監視範囲を広げ、セキュリティ機器だけでなく、システムやアプリケーションなどのログの収集・分析、対応フローの自動化を進め、24時間の監視体制になりました。現在では高度な分析や対応ができるようになり、脅威に関する豊富な情報の蓄積、異常検知時の適切な意思決定や事後対応が行えていると考えます。