米国時間の2012年2月27日から3月2日の5日間、サンフランシスコのモスコーニセンターで情報セキュリティに関する年次イベント「RSA Conference 2012」が開催されている。第一報として、基調講演の内容を報告する。
暗号学者向けフォーラムとしてスタートした同イベントは、1991年の初開催から回を重ね、現在は技術だけでなく法制度や政策なども含めたセキュリティの総合イベントに成長している。通算21回めとなる今回は、約220の講演と350を超える企業による展示会を催す。主催者は会期中に2万人超の来場者を見込む。
今年の最重要テーマは「サイバー攻撃への対処」。初日の基調講演には、米EMCのエグゼクティブ・バイスプレジデントでRSA部門の会長を務めるアート・コビエロ氏が登壇。企業を取り巻くセキュリティ環境の悪化と対応策について語った。
サイバー攻撃対策の鍵は早期発見
「前回のカンファレンス以降の12カ月で私たちは極めて厳しい状況に直面することになった。ソニーや日本の政府機関、そしてRSAなど多くの企業がサイバー攻撃の標的となった。私たちは地獄のような状況にいる」(コビエロ氏)。
ITが持つ社会的な影響力が増大する一方で、その脆弱性を突いて自己の欲求を満足させようようとする“よからぬ人”が増えることは、ある意味で避けられない。問題は、動機がいかなるものであれ、攻撃が企業や社会に甚大な被害をもたらす点、そして、それらを完璧に防ぐことが難しい点にある。
「攻撃者は伝統的な防御線を易々と突破する。ネットワーク境界設定とシグネチャに基づいたセキュリティ対策が“賞味期限切れ”であることを私たちは認識しなければならない」(同)。
攻撃者側に分があるとは言え、戦いをやめることはできない。私たちはどのような対策をとりうるのか。問題解決には「攻撃の機先を制する必要がある」とコビエロ氏は訴える。
「ベライゾンの調査によれば、セキュリティ侵害の91%は数日間でデータの流出につながる。ところが、データ侵害の79%は発見までに数週間以上掛かっている。私たちはこの時間を逆転しなければならない」(同)。そのためには新しいセキュリティのアプローチが必要になる。氏によれば、今後のセキュリティ対策が備えるべき要件は主に3つある。
1つめはリスクベースの発想を取り入れること。外部からの攻撃がなくなることは現実的にありえない。また、攻撃によってセキュリティを突破される可能性をゼロにすることもできない。ただし、リスクを受け入れ可能なレベルに軽減することはできる。
例えば、頻繁に狙われる脆弱性をつぶしておく。あるいはセキュリティを突破されても致命的な損害に結びつかないようにする。リスク管理の発想に立ち返って情報セキュリティを見直す。そのためには、サーバーやネットワークはもちろん、従業員が持ち込む携帯端末やクラウドサービスを含めたシステムの“実態”を認識しておく。また、それらを攻撃するためにはどのような手段があり得るか、攻撃者の視点を取り入れて、脆弱性をもれなく把握する必要がある。
2つめは迅速さを備えること。シグネチャやパッチに頼った対策では、未知の脅威を使った攻撃に対応できない。アップデートを待つ間に攻撃者の侵入を許すのが嫌ならば、リアルタイムに対処する仕組みを用意する必要がある。
具体的にはシステムを常時監視するというアプローチが考えられる。通常時のリソースの使用率やユーザーの行動パターンを把握しておく。それらから逸脱した状態を検知した場合に異常として報告するイメージだ。リアルタイムに異常を検知するためには一連の仕組みを自動化する必要がある。人手に頼った仕組みではタイムラグや見落としが発生するからだ。
3つめはビッグデータを活用すること。微かな兆候を捉えるためには細大漏らさずシステムを取り巻く状況を把握する必要がある。従来のログデータに限らず、企業のあらゆる部署、あるいは社外から集めた「ビッグデータ」を活用する必要がある。
これら3つはシステム的な要件。セキュリティを担当する人間の側にも変化が求められる。適切な分析スキル、大局的な視点、利害調整能力を備え、攻撃を防止するために積極的に情報収集やシステムの改善に取り組む“攻めの思考回路”の持ち主。コビエロ氏は「サイバーセキュリティアナリスト」と表現する。長期的な視点で育成に取り組むとともに、サイバー攻撃やスパイ活動などのテーマに長年取り組んできた軍関係組織を人材の供給源として活用するべきだと訴えた。