パスワードリスト攻撃に対してサイト運営者側ができる対策
発表にあたり、RSA事業本部本部長の宮園充氏が「近年の国内では、IDとパスワードの使い回しを背景としたパスワードリスト攻撃が増えている。ユーザーに対して使い回しを完全に止めることを求めるのは難しい。このため多くのサイトはパスワードリスト攻撃のリスクを抱えていると言える。新製品はこうした攻撃を含めてサイトへの不正アクセスに対応する製品だ」と国内における製品展開のねらいを語った。
続いて、米EMCのIT脅威ストラテジスト エリック・トンプソン(Eric Thompson)氏が製品コンセプトや特徴を紹介した。トンプソン氏はまず、金銭や個人情報の詐取を目的にした不正ログインや、金融機関をねらった組織的なマルウェア攻撃、ライバル企業のブランドを毀損することを目的としたDDoS攻撃など、Webサイトを対象にした攻撃がビジネスに大きなインパクトをもたらしていることを説明。そのうえで、「こうした攻撃に対して求められるのは、リスクベース、コンテクスチュアル、アジャイルというアプローチからの対策だ」と主張した。
リスクベースのアプローチというのは、リスクの要素ごとに対策をとる方法。リスクの要素としては、行動、ユーザー、デバイス、トランザクションが考えられるという。たとえば、「行動については、Webサイトを訪れる多くのユーザーのベージ遷移を計測し、遷移のはやさ、ナビゲーション、アクション、それを行った時間などをパターンとして学習する。通常のパターンと異なる行動をしたユーザーを異常として検知する」という。同じように、ユーザーごと、デバイスごと、トランザクションごとにそれぞれパターンを作成することもできる。
また、コンテクスチュアルのアプローチでは、ユーザーのセッション情報や正規ユーザーとの行動の違い、脅威などについて、文脈や状況を見ながら脅威の発見につなげていく。たとえば、単にユーザー名やアクセス元IPを見るだけでなく、「すべてのセッション情報(WebのSession IDなど)を取得して、関係をわかりやすく可視化できるようにする」(同氏)ことが求められる。
最後のアジャイルのアプローチは、ネットワークのどこで脅威が発生したかなど、ほぼリアルタイムに検知して、迅速に対応できるようにすることだ。その際には、セッションを隔離したり、ユーザーに対して連絡を行ったりといったルールを新たにつくり、スピーディーに実行できることがポイントとなる。「たとえば、ECサイトのブロモーションについて、同じユーザーがキャンペーンの特典を不正に大量に取得していることがわかったら、その場で不正を防ぐルールを作り、すみやかに適用する。同じように、オンラインバンキングでDDoSを検知したら、数秒後には対応できるようにする」ものだ。
そのうえで、こうしたリスクの要素ごとに全体の状況を見ながら即座に対応していくことができる点が、新製品の大きな特徴だとアピールした。
