【RSA Conference 2015】「セキュリティ業界は攻撃者に敗北した」 - RSA社長が力説する「マインドセット」の必要性

情報セキュリティの総合カンファレンス「RSA Conference 2015」が、4月20～24日の日程で、米国サンフランシスコ・モスコーニ・センターで開催されている。今年で24回目となる今回のテーマには「CHANGE」が掲げられた。「従来からのセキュリティ対策では、現在の脅威には対応できない。セキュリティに対する考え方を、根本から変える必要がある」というのが、その理由だ。

回を重ねるごとに規模が大きくなる同コンファレンスだが、今回も10名以上が登壇する基調講演をはじめ、25種類におよぶ約350のトラックセッション、約400社に上るセキュリティベンダーが出展した。同社によると、参加者は約3万人で、日本からも約150名が参加したという。

初日は、RSAの社長を務めるAmit Yoran(アミット・ヨーラン)氏が「Escaping Security's Dark Ages(セキュリティ暗黒時代からの脱却)」をテーマに、基調講演に登壇した。

冒頭、Yoran氏はコンピュータ技術の進化について、「1996年に5,500万ドルだったスーパーコンピュータの性能が、10年後には500ドルで買える『PlayStation 3』の2分の1にも満たなくなる、急速に変化する世界だ」と指摘したうえで、「(機械学習など)コンピュータ自身が賢くなる時代に突入している。今、われわれは、大きな転換期に直面している。今後、コンピュータと人間の関係がどう変化するのか、誰も予測できない」と述べた。

Yoran氏は、「現在の人々の生活とコンピュータは、切り離せないものになっている」とし、「コンピュータセキュリティは、暗黒の時代にある」と語る。

2014年は、世界中で情報漏えい事件が発生した。その規模も被害総額も、年々拡大している。Yoran氏は「2014年の情報漏えいは、"メガ級"と言えるだろう。では、今年はどうだろうか。2014年よりもさらに(情報漏えい件数は)増加している。"スーパーメガ級"とでも言えばよいのか。そんな(規模を示す)ボキャブラリーはすぐに枯渇する」と、冗談を交えつつ訴えた。

セキュリティベンダーは敗北した?

2014年は、セキュリティ対策を講じる側にとって"敗北の年"だった――。Yoran氏は壇上で、そう言い切った。

「大規模企業は数百万ドルを投じて洗練された"次世代の"セキュリティソリューションを導入したが、個人情報や重要機密を守れなかった。攻撃側はあらゆる手段で攻撃を仕掛け、我々セキュリティ業界の裏をかいた。あらゆる角度から見ても、彼らのほうが(キュリティ業界より)優っている」(Yoran氏)

Yoran氏が強調するのは、攻撃する側と防御する側との"ギャップ"である。

もはやセキュリティ対策は、既存の技術的アプローチだけでは不十分であり、包括的な戦略的アプローチを採る必要がある。しかしながら、多くの企業は、現実を直視しようとせず、"今、そこにある危機"には適合しない、旧態依然としたセキュリティ対策を講じているだけだというのが、Yoran氏の見解だ。

例えば、米国ベライゾンが2014年に公開したデータ侵害調査報告書によると、攻撃に成功した高度な脅威のうち、SIEM(Security Information and Event Management)で食い止められる可能性があったのは、わずかに1%未満であったという。

「この状況は、例えて言うなら、すでに地形が変わっているにも関わらず、古い地図を頼りに歩いているようなものだ。今こそ(セキュリティを取り巻く)状況は変化していると認識すべきだ」(Yoran氏)

RSAからの5つの提言

防御側よりも攻撃側のほうが"柔軟"に、そして素早く変化を見極め、"適切"な攻撃を仕掛ける時代。では、守る側には何が求められるのであろうか。Yoran氏は高度なサイバー攻撃へのセキュリティ対策として、以下の5つを提言として挙げた。

1. 高度な防御対策でも過信しない

2. エンドポイントからクラウドまで、あらゆる環境において細部まで可視化する

3. 認証およびID管理がより重要になることを理解する

4. 外部ベンダー/機関が持つ脅威情報を活用する

5. 自社の情報資産を棚卸しし、セキュリティの優先順位を付ける

中でもYoran氏が力説したのは、可視化と認証/ID管理の重要性である。

可視化は、情報を保持しているすべての環境において、"広く" "深く"可視化し、かつ連続的なフルパケットキャプチャとエンドポイントへの侵害分析の両方を行う必要があると説く。

現在のセキュリティ対策の課題の1つには、「セキュリティ侵害を鳥瞰的に捉えず、単発のセキュリティ侵害として対処してしまう」というものがある。

つまり、大規模攻撃前の"おとり攻撃"であるかもしれないが、先に対処してしまうことで、敵に防御の"手の内"を読まれてしまうのだ。攻撃の全体像を把握するためには、「いつ」「どこで」「何が」発生したのかを可視化し、一連の攻撃から相手のターゲットを見定め、包括的にセキュリティ対策を講じることが重要であるという。

また、認証/ID管理では、「認証/ID自体を漏えいさせないこと」が大切だと指摘する。昨今の攻撃は、マルウェアによる外部からの攻撃よりも、IDを盗んで正規の認証でシステム内部にアクセスし、情報を盗んでいくケースが多い。

Yoran氏は、「システム管理者は、アカウントやアクセス権を乱発したり、休眠アカウントを放置したりしないこと。こうした行為は、攻撃者に不正アクセスをしやすくする」と警鐘を鳴らした。

さらに、Yoran氏は、CrowdStrike、iSIGHT Partners、ThreatGRID、ISACといったセキュリティベンダーや団体が持つ情報を活用する必要性も語った。これらの情報活用をベースにした環境を構築するためには、優先順位を付け、「どこに、どれだけ投資をするか」を決める必要がある。

「アカウント、ロール、データ、システム、アプリケーション、デバイス――これらすべてに焦点を当て、(セキュリティの)棚卸し、重要度の高いものから堅牢なセキュリティ対策を講じなければならない」(Yoran氏)

同コンファレンスに合わせRSAは、IDを動的に管理する「RSA Viaファミリー」を発表した。ただし、基調講演においてYoran氏は、新製品にはほとんど触れず、セキュリティ脅威の変化と、それに対応する必要性を強調。最後にYoran氏は、「セキュリティの課題は、技術的な問題ではなく、使う側のマインドセットの問題だ」と話し、講演を締めくくった。