潜在的な損失は何か考える
ズルフィカール・ラムザン(Zulfikar Ramzan)氏
かねてからラムザン氏は、「『リスク』と『脅威』を混合している人は多いが、両者は根本的に異なる。両者を混合してセキュリティ対策を実施すると、本当に守るべき資産が曖昧になる」と説いてきた。(関連記事 https://enterprisezine.jp/article/detail/10817 )
リスクとは、脆弱性が悪用される可能性がどのくらいあるか。そして、脆弱性が悪用された時のインパクトはどのくらいかを総合的に判断して割り出す。同じ企業であっても、どの組織に属するかによってリスクの指針は異なる。「サイバーリスクそのものを定量化することは難しい。なぜなら、その“指針”は1つではないからだ」(ラムザン氏)
リスク管理で重要なのは、自社にとって「何がリスクなのか」を見極めてインシデントの影響を測定し、「リスクがビジネスにどれだけ影響するか」の視点に立脚して、その影響を最小限にとどめることだ。
ラムザン氏は、「自社にとって何がリスクなのかを理解するためには、何が発生しているかを可視化することだ。リスクの測定には4つのプロセスがある。それは『データ収集』『可視化による把握』『洞察』『アクション』だ」と指摘する。
見えないものは測定/評価できない。そのためには、自社を取り巻く環境で何が発生しているのかを示すデータを収集し、状況を可視化して把握する必要がある。そのうえでデータを分析して洞察に変え、行動を起こす。この4つのプロセスを1つのループとして迅速、かつ複数回繰り返すことで、自社にとってのリスクがつまびらかになるという。
AIで文章把握、AIがデータ資産を判断
近年、こうしたリスクの測定に人工知能(AI)を活用しようという動きがある。ラムザン氏が技術開発責任者として率いるRSAラボ(RSA Labs)でも、「AI/機械学習(ML)」「IoT」「ブロックチェーン」「量子コンピュータの技術的インパクト」の4領域にフォーカスし、研究を続けている。中でもAIに対する注目は、顧客からの関心が高い。
実際、セキュリティ対策の領域でAIが果たす役割は大きい。そもそも、AIやビッグデータといった言葉がはやる前から、セキュリテイベンダーは振る舞い検知などにAIやMLを活用し、ネットワークトラフィックやパケットの分析を実施していた。ラムザン氏によると「現在は、従来の利用用途とは異なる分野でAIの活用が期待されている」という。
その1つが文章の解読だ。例えば、コンプライアンスに関する文章など、大量の文書を読み込み、特定の内容を抽出するといった作業は今やAIのほうが優れている。「長時間同じペースでタスクをこなすということ意味から考えると、AIのほうが人間よりも正確だ。RSA Labではコンプライアンスや法律に関する用語を分析し、(法律のどの部分に該当するかを)マッピングできる技術を開発している」(ラムザン氏)
もう1つは、トラフィック状況から重要なデータを自動的に判断する技術としての活用だ。アクセスをする人物のポジションやその人数、時期やタイミングなどから「どのデータ資産やシステムが重要なのか」を自動的に評価する。これにより、優先順位を考慮した適切なデータ保護対策が可能になる。ラムザン氏は「企業にとって資産が何であるかの概念が変化しているこれからは、よりデータにフォーカスしたセキュリティ対策が求められる」と見ている。
以前は、資産といえば、コンピュータやデータセンターのシステムだった。しかし現在は、クラウドを利用するユーザーが増加している。クラウドのセキュリティ対策を講じるのは、主にクラウドベンダーだ。ユーザーは各クラウドのセキュリティ機能やサービスを見極めながら利用するサービスを決定する。
「ハードウエアやシステムを守る」という考えは、クラウドサービスでは難しい。例えば、「マイクロサービス」技術を利用しているクラウドでは、「預けたデータがどのような経緯を辿ってどこにあるのか」を“手動”で追跡することは困難だ。ラムザン氏は「これは今後の解決すべき課題だ。その手段としてAIを活用したアプローチが考えられる」という。
