シマンテックのトップが語るセキュリティの現状と未来 - 第6回情報セキュリティEXPO基調講演(1) エンリケ T.セーラム氏

5月13日、第6回情報セキュリティEXPOが開催された。初日には、セキュリティ企業のトップ2人による基調講演が行われた。まずは、シマンテックコーポレーション社長兼CEOエンリケ T.セーラム氏による「戦いが変わる、これからのセキュリティ～The New Security Agenda: Changing the Game～」である。

悪意あるコードの増加

まずは、現状の脅威である。セーラム氏は、現状の脅威について次のような言葉で語った。「まず第一に、対処しなければならない悪意あるコードは急速に増えている点です。4月14日、シマンテックインターネットセキュリティ脅威レポートを発表しました。その脅威に関する報告で、悪意あるコードの最新のトレンドを取り上げました。2008年は160万の新しいシグネチャを作りました。それは、今までの17年間の合計よりも上回る数字です。非常に大きな数字に思えるかもしれませんが、2008年においては、すでに2億4500万件の攻撃を毎月ブロックしているのです。すなわち、私が講演しているこの30分間で、20万件の攻撃をブロックしていることになります。」と特に2008年以降、日常的に大量の攻撃が行われていることを強調する。

また、「多くの攻撃は今やもっとターゲットを絞った攻撃が行われています。そして、秘密情報を狙っています。そのために我々自身を守るために、新しい方法が必要になります。160万件の攻撃のうち、90%が極秘情報をターゲットにしていました。たんに有名になりたいということではなく、物を盗むために攻撃が仕掛けられています。すなわち、悪さをする人、ハッカーやスパイがどのように情報を盗み出しているかを取り上げなければなりません。もう1つ、侵入および侵入によるコストが急速に増えていることです」と悪意あるコードの急激な増大、特に個人情報や機密情報を狙う悪意が存在しており、これまでの対処方法のみでは十分とはいえないと述べた。

内部からの攻撃

また、セーラム氏は「2つめの現実として、攻撃は外部からやってくるのではなく、内部からの攻撃もある点です。20年前と同様、最も大きな脅威はインサイダーによるものです。2008年においてはある侵入が起きた場合には、1つの企業が受ける被害額は670万ドルでした。2007年と比べて5%も上昇しています。これらの攻撃の一部は、たとえば、従業員が怠慢で過ちを犯し、結果がどうなるかを考えていないことです。情報を失うことによってどうなるかを考えていなかったわけです。」と旧来からの脅威として、内部からの脅威をあげている。そして、その脅威のほとんどは、情報流出という被害へと直結する。そして内部からの情報流出の具体例としてUSBメモリやメールによるケースを紹介した。

「1つの例ですが、大事な情報をUSBメモリに収納したとします。秘密のファイルやスプレッドシートをコピーし、そのUSBメモリをタクシーに置き忘れたりするのです。そうすると秘密情報は失われたことになります。失われたUSBメモリの半分には秘密情報が含まれています。また、オートフィルという機能が電子メールにあります。これによって電子メールを送る際に、間違った相手に送信してしまうこともあります。企業によっては、生産性を向上させる機能を無効にしなければならないこともあるわけです。このように、内部の脅威は毎日のように発生しています。それを保護する方法がつねに必要となります。」

日常的に使用するUSBメモリなどには必ずと言っていいほど"情報"が含まれ、なお且つ"タクシーに置き忘れる"といった日常的な行動によって外部にいとも簡単に流出することをセーラム氏は改めて強調した。

「そこで、どうやって情報を保護するかを考えなければなりません。しかし、ますます難しくなってきています。その理由は、環境が複雑化し、異種環境になっているからです。我が社もそうですが、この10年間に30社を買収し、複雑になり異種環境となっています。そのため、情報を保護する手段が必要です。過去、いろいろな標準化を進めました。共通のインフラを整備しようとしました。しかし、努力すればするほど難しくなっていきます。本当の意味で標準的なやり方ではできないと思います」

日本でも、さまざまな情報流出が発生している。そして、多くの場合が金銭的な被害以上に、社会的な信用の失墜といった金額に変えられない被害を引き起こしている。

セキュリティのオペレーション化

さまざまな脅威、そして、情報流出の防止、いずれもこれまでのセキュリティモデルでは改善が難しいものといえよう。セーラム氏は、ここで新しいセキュリティモデルの考え方を紹介した。

「新しいモデルを紹介しましょう。この新しいモデルはセキュリティを違った形で考えることができます。新しい枠組みがセキュリティに対し存在しているわけですが、これらをリスクベース、情報中心型と呼んでいます。そして、これらはレスポンスがあるワークフロー駆動型です。リスクベース、情報中心型、対応型、ワークフロー駆動型の考え方が新たにセキュリティには必要なのです。

リスクベースというのは、ビジネスとのやりとりをし、リスクを確認することです。情報中心型というのは、今現在、インフラストラクチャーを保護しようと集中していますが、これは、重要でありますが、十分ではありません。"情報"を守らなければならないのです。対応型は、リアルタイムで、環境の中の状況を理解しなければなりません。そして、リスクや脅威がどこから発生しているのか理解し、迅速に対応しなければなりません。ワークフロー駆動型は、多くのことを日々のプロセスのなかで、自動化できるということです。それができれば、セキュリティを変えることができ、本当の意味でオペレーション化が可能となります。」

セーラム氏は次のような具体例を挙げる。

「USBメモリにコピーを行う場合はすべて通知を行うように設定する。情報が機密情報である場合にはコピーを防止、機密情報に権限がある人であれば、コピーを可とする。これらを具体的におこなうには、まず最初にどの情報をコピーできるかできないかのポリシーを定義、2つ目にシステムとしてUSBメモリにコピーした時に、それがわかるようにしておく。3つ目に、何かが起こったときに、通知が来るようにしておく。」

とリスクベース、情報中心型のケースでの対応を示したうえで次のようにワークフロー駆動型の考え方を述べる。

「しかし、ここで考えなければならないのは、もし、通知しなければならない人がいなかった場合はどうでしょうか。自動的にエスカレーションをして、上の人に伝えなければなりません。そこで、ワークフローの技術が必要となるのです。確実にエスカレーションが自動化できるようにします。もし、大きな違反が検出された場合には。ユーザアカウントを無効にしなければなりません。プロビジョニングシステムに入り、アカウントをすぐに無効にしなければなりません。そして、これらには迅速な対応が必要です。早く対応して、問題を是正していきます。ワークフローで、その作業を自動化していくわけです。」

レピュテーションベースのセキュリティ

また、増大するシグネチャに対しこれまでの対策では、必ずしも安全といえない状況になりつつあるという。セーラム氏は、セキュリティの歴史を考えると多くはシグネチャベースのブラックリスト化で対応してきたが、ブラックリストでは時間がかかり過ぎること、ホワイトリストでは制限が多すぎることを述べた上で次のように語る。

「我々が導入しているのは、新しい概念でレピュテーションベースのセキュリティです。ブラックリストは時間がかかりすぎます。ホワイトリストは制限が多すぎます。レピュテーションは、具体的なアプリケーションの評判を知ることができます。アプリケーションを信頼できるのか、出てからどのくらいの期間がたっているのか、何人が使っているのか、といったアプリケーションの信頼性を知ることができます。」

また、組織ごとにポリシー設定できることの重要性を大学と政府機関といった対比例を用いて次のように説明した。

「重要なのは1つの組織として、ポリシーを設定できることです。たとえば大学では、ダウンロードしてもいいですよ、できるだけ多くの情報、アプリケーションを好きなだけPCにダウンロードしてくださいとします。しかし、政府機関では、もし新しいアプリケーションで、以前、見たことのないものとなれば、これは我々のシステム上では実行させないようにします。レピュテーションベースのセキュリティは、どのアプリケーションは信頼できるのか、できないかを確実にわかるようにしています」

この後、登壇したエバ・チェン氏も、新たな方法としてレピュテーション技術をベースとした対策(スマートプロテクションネットワーク)を紹介していた。年間で160万を越えるシグネチャに対し、従来の方法では限界もあるということを示した。

真正面から挑戦を

最後にセーラム氏は、これらの脅威に対抗するための姿勢を強調する。

「さて、今、起こっていることを考えてみます。すると、私がスキーを始めた頃を思い出します。スキーを始めたばかり、姿勢が後傾になりがちです。しかし、スキーは前傾することで、よりコントロールが可能になります。同じことが我々にもいえます。我々も前傾しなければなりません。さらに真正面から挑戦しなければなりません。情報を保護するのは難しいです。どこにでもあり、全社にわたって存在しています。そこで我々がやらなければいけないのは、コントロールすることと、何が起こっているかを把握することです。その唯一の方法は、真正面から挑戦に立ち向かうことです。

毎日聞かれる質問に『もし、そちらの製品を買った場合、セキュリティレベルは上がるのでしょうか』というのがあります。その答えは『その情報が重要であるかを理解する』ことです。オペレーションセキュリティモデルは、情報から始まらなければなりません。それを実践することができれば、セキュリティのレベルは高いのかどうかという質問に答えることができます。セキュリティを細部ではない形で見ていきます。

セキュリティをすべての部門で統合化することによって、コントロールを持つことができます。外部の脅威環境、内部の脅威環境、それがどんどん変わっていくでしょう。セキュリティのオペレーション化をすることは、セキュリティ環境をより高いレベルにすることができます。挑戦を真正面から捉え、コントロールをし、ポリシーを実装すれば、セキュリティレベルは上がっていきます。ありがとうございました」

セキュリティのオペレーション化、そして、脅威に向かう姿勢こそ重要と結論付けている。守るべき情報とは何であるのか、そしてそれをどうやって守るのか。大きな課題であろう。タイトルにある「戦いが変わる」は、まさに、これまでのセキュリティに対する意識から大きく変えていく必要を示したものといえよう。2008年以降の大きな変化に対応していくことが求められる。