脅威から機密情報を守り抜くEMCの社内セキュリティ実践：最高セキュリティ責任者に聞く（2/2 ページ）

[聞き手：國谷武史，ITmedia]

何千万件のイベントから対応

――　アラートやイベントだけでも膨大になると思いますが、CIRCではどの程度対応しているのでしょうか。

マーティン　イベントは毎日何千万件と発生していますが、これは「情報」として扱っており、全てを懸念すべき対象とはしていません。脅威情報やネットワークの状況などに照らしながら、類似のイベントをグループにまとめていきます。その中から毎日100〜200件程度のイベントをセキュリティアナリストが分析して、対応を判断します。アナリストが分析したイベントのうち、ごくわずかなものが重要インシデントとして判断され、さらにリソースを投じて対応しています。

――　最近のインシデントの特徴はどのようなものでしょうか。

マーティン　何か新しいものが次々に生じるということはなく、似たような傾向が繰り返されるという状況です。フィッシング詐欺は今なお多く発生していますし、「水飲み場型攻撃」も発生しています。Webサイトを閲覧しただけでマルウェアに感染する脅威や、ネットワーク、インフラに対する従来型の攻撃もあります。

――　近年はWebからの脅威対策の必要性がうたわれていますが、やはり多いのでしょうか。

マーティン　ビジネスでインターネットやソーシャルメディアを使う機会が増えているので仕方のないことでしょう。それらの利用を中止すれば安全ですが、現実的な対策では無いですよね。EMCでも信用できないWebサイトへのアクセスには警告を出すようにしています。特にWebからの脅威対策ではバランスが重要であり、社員の生産性を確保するために、どの程度自由な利用を認めつつ保護していくべきか、ワークライフバランスの観点も重要になるでしょう。また、高度な検知技術を活用すれば、初期段階の攻撃を検知して迅速な対応ができます。

　社員の教育や啓蒙も大事です。例えば、社員が日頃からアクセスするWebサイトで普段とは異なる振る舞いを感じた場合に、報告してもらうようにすることも有効です。

――　検知技術を回避するような攻撃にはどう対処していますか。

マーティン　我々の検知メカニズムでは多層的なアプローチを採用しています。早期検知に強いソリューションやデータの不正検知に強いソリューションを組み合わせるといったイメージですね。多層的な検知メカニズムにすることで、攻撃を見逃さないようにしています。

――　内部関係者による不正行為には、どのような方針で対応していますか。

マーティン　まず、社員が社内規則に抵触してしまう場合の多くは、本人が気付かないうち起こってしまうということです。その理由は顧客のため、業務効率化のためといったものがほとんどです。我々がすべきことは社内規則についての教育を徹底し、社員が守れることのできるシンプルな規則を整備する、そして、なぜ守るべきかを社員にしっかりと理解してもらうことだと考えています。

　技術的には第三者のなりすましによる行為であっても、内部関係者による行為であっても、「異常行動」として検知しています。そこに違いはありません。部門全員の行動をみてその中に特異的な行動が見つかれば、まず注意し、その他にも特異な行動などが見つからないか調査していきます。

――　国内では内部不正による大規模な情報漏えい事件が発生したばかりです。今後の情報セキュリティではこれまでの外部脅威だけでなく、内部不正対策も重視されていくと思いますが、どのように対応すべきでしょうか。

マーティン　セキュリティシステムを構築する場合、脅威の対象を狭めるべきではありません。広く対象にすべきです。脅威をコントロールできるようにするには、先ほど述べた多層的なアプローチが有効です。可能ならば専門家による監視を行います。様々な情報を集約、一元化して分析を行い、脅威を可視化するべきです。社外とも情報を共有しておくことで、より良い対応ができるでしょう。

　そして、強固な社内環境を構築しておくべきです。IT部門と業務部門との間のコミュニケーションが円滑であれば、万一の時にすばやく対応できるようになります。