クラウドや、ネットワーク、ビッグデータの動向を取り上げてきた。だが、これらの活用の広がりに欠かせないのがセキュリティである。安全で信頼できる仕組みを実現するためには、セキュリティの脅威を理解し、それに対する適切な対処が必要になる。しかし、攻撃側の手口は巧妙になる一方だ。セキュリティの最新動向に触れてみたい。
サイバー犯罪者や国家組織は、標的を絞り込んだ攻撃手法を駆使し、Webや電子メール経由で高度なマルウェアを標的に送り込んで企業ネットワークに侵入し、機密性の高いデータを盗み出す。この時、感染したマシン上のマルウェアは、「コールバック」と呼ばれる通信で、外部の指示サーバーと交信する。コールバックが確立されると、データの盗み出し、企業ネットワーク内での攻撃、マルウェア自身を検出されないように変化させることなどが可能になる。
FireEyeは、数十万台のマルウェアに感染したホストから発せられた1200万件のコールバックデータを分析している。結果、この種の攻撃は、グローバル化が進んでおり、特に高度なサイバー攻撃が多数発生しているのはアジアと東欧だった。企業としては、グローバルに活動するテクノロジー関連企業で最も多く発生している。コールバックの方法そのもののも、より正規の通信に近い偽装が施されるなど巧妙化しているという。
最新のサイバー攻撃では、企業や組織の中の個人を攻撃し、IDやPCを乗っ取ることで、攻撃したり情報を盗み出したりする。そのため、社内への入り口で実施する防御策では防ぎ切れなくなっている。入り口での動的な解析に加え、企業内部での監視が必要になる。
セキュリティ対策にもビッグデータの適用が広がる
こうした考えから登場したのがSIEM(Security Information and Events Management)である。膨大なログ情報から振る舞いや異常を検知することで潜在的な脅威や不正を解析・予測する。様々な情報ソースから発生するログや収集したパケットの情報を一元管理するSIMと、SIMの情報を自動的に解析して警告の発令や予兆の発見、事故後の調査、コンプライアンス管理などの役割を担うSEMから成っている。
SIEMの代表製品の1つに米Splunkのソリューションがある。そこでは、セキュリティ関連装置やサーバー、ネットワーク機器、アプリケーションなどが持つフォーマットが異なるデータを一元管理したうえで、複雑なイベントを関連付けることで未知の脅威に対するアラートを挙げられるようになっている。通常では発見しにくい社内から社外への情報流出や、通常ユーザーと攻撃者の見分けといった応用が可能だ。
SIEM分野は、ビッグデータの応用分野としても進歩しており、セキュリティアラートだけでなく、ビッグデータ解析によるオペレーションの最適化へつなぐ動きも出てきている。
ビッグデータやIoTのような新しい分野が広がれば、それらの分野での対策も必要になってくる。図2に、クラウドにけるセキュリティのあり方を啓蒙している国際団体である米CSA(Cloud Security Alliannce:クラウドセキュリティアライアンス)の「Big Data Working Group」が作成した、ビッグデータ分野におけるセキュリティとプライバシーの関する考慮点を挙げる(関連記事)。ここでは、データのストア、ログ、計算処理、エンドポイント、ネットワークと、設計のポイント、モニタリング、監査の方法を検討する必要があることが示されている。
拡大画像表示
米ボーイングがセキュリティ事業で年間5%成長
これらの対策を実施しようとすれば、構築だけでなく運用管理も、これまでより複雑になる。複雑化する脅威への対策の難しさと、それに対するスキル向上の難しさ、さらには高度なセキュリティ技術者の不足から、セキュリティ運用のアウトソーシングも今後は増えていくであろう。
米国では、セキュリティアウトソーシングの分野にボーイングが参入しビジネスを広げている。コンサルタントや営業、エンジニアなど約1000人の体制で、 米国国防総省をはじめ、政府機関や大企業、日本でも官公庁や大企業などへソリューションを提供し、年率5%の売り上げ成長を実現している。
ボーイングは、自社で堅牢なセキュリティシステムを構築し、月40万件近いコンピュータウィルスの侵入をブロックしているという。そのセキュリティシステムを構築・運用するノウハウを基に、サイバーセキュリティソリューション事業を手掛けているわけだ。前回、ビッグデータ活用のノウハウがビジネスになると指摘したが、セキュリティ分野でも同様の傾向が起こっていることになる。
ビジネスの成功に向けてはITの活用が不可避になった今、これまで以上に適切なセキュリティシステムの構築が必要になっている。一方で、セキュリティの脅威は、その対象を拡大し複雑化が進んでいる。脅威に対する対策ツールやサービスも次々と生まれている中で、脅威と対策の動向を把握したうえで、脅威にどう対処していくかの方針を明確にし、PDCAを実践できるセキュリティシステムを構築・運用することが重要である。
●筆者プロフィール
大和敏彦(やまと としひこ)
慶応義塾大学工学部管理工学科卒業後、日本NCRでメインフレームのOS開発を、日本IBMでThinkPadなどの開発および戦略コンサルタントを担当。シスコシステムズではCTOとしてエンジニアリング組織を立ち上げ、インターネットビデオやIP電話、新幹線などの列車内インターネット事業の創出を牽引し、代表的な企業とのアライアンスおよび共同開発を推進した。その後、ブロードバンドタワー 代表取締役社長としてデータセンタービジネスを、ZTEジャパン CTO兼副社長としてモバイルビジネスを経験。2013年4月からITi(アイティアイ)代表取締役。その後リンクバル 社外取締役を経て、2022年1月にアプライド エレクトロニクス 取締役 CTOに就任。大手製造業に対し事業戦略策定に関するコンサルティングを、ベンチャー企業や外国企業に対してはビジネス展開支援を提供している。日本ネットワークセキュリティ協会副会長、VoIP推進協議会会長代理、総務省や経済産業省の各種委員会委員、ASPIC常務理事などを歴任。
本連載『CIOのための「IT未来予測」~将来を見据え、目前のITを評価せよ~』が、IT Leadersの電子書籍『IT Leaders選書』になりました。お手元でじっくりとお読みいただけます。こちらから、どうぞ、お買い求めください。
- 広がるAIの応用分野と、それが示す現時点での限界(2017/04/17)
- 米GEのIndustrial Internetの成果と進化(2017/03/20)
- IoTとAIが変えるUI(ユーザーインタフェース)(2017/02/20)
- IoTの実現に向け広がるフォグコンピューティングの価値(2017/01/16)
- デジタルトランスフォーメーション(DX)の重要テクノロジーとしてのIoT(2016/12/19)