花粉症とは無縁の人生でいられた最後の1週間(2/25-3/1)、ワタクシはRSA主催の年次イベント「RSA Conference 2013」取材のためサンフランシスコにおりました(今となっては花粉を微塵も感じなかったあのさわやかな空気がなつかしい……)。1991年に開催された第1回目のRSA Conferenceは単なる暗号学会だったと聞いておりますが、22年後の現在は、金融、通信、製造、流通、政府関係者など、ありとあらゆる業界のビジネスユーザやセキュリティエンジニアが世界中から集まる一大イベントに成長しました。参加人数は2万人を超え、シマンテックやマカフィーなど名だたるセキュリティベンダを中心に300社以上がブースを出展、またセッションもビジネスユーザを対象にした初心者向けから超エキスパート向けのものまで、連日、朝早くから夕方までびっしり、聴衆もぎっしりです。キーノートにはRSAチェアマンのアート・コビエロ氏のほか、Wikipedia創設者のジミー・ウェールズ氏や元米国務長官のコンドリーザ・ライス女史なども連日登壇し、セキュリティに対する関心が国レベルで高まっている米国の現状を反映してか、実に活気のあるイベントとなりました。
さて、セキュリティのトップベンダであるRSAには当然、優秀なセキュリティエンジニアが数多く在籍していますが、その中でも選りすぐりのエリートたちによる少数精鋭の特命チーム「RSA FirstWatch Research & Intelligence(以下、FirstWatch)」が存在します。今回のカンファレンスで、このFirstWatchのメンバーがメディア向けに特別セッションを行ってくれたので、そのもようを紹介しつつ、彼らが取り組むプロジェクトの重要性に迫ってみたいと思います。
RSA FirstWatchとはどんな組織なのか
エリート中のエリートであるFirstWatchのメンバーに課せられた最大のミッション、それはずばり"Unknown Unknowns(未知の未知)"と呼ばれる、まだその存在をどこにも知られていない脅威を見つけ出すことです。既知のマルウェアを防ぐだけのファイアウォールでは、いまの時代、容易にクラックされてしまう可能性が高い。とくにここ1、2年激増しているAPT(Advanced Persistent Threat)攻撃の場合、一度標的となってしまったら最後、目当ての情報を盗み出されるまで、多様かつ執拗なアタックを受け続けることになります。攻撃者が繰り出す攻撃が既知のマルウェアやパターンだけで成り立っているとは限らないため、まだ世に出ていない未知の脅威を未知の状態のままでつぶすことは、攻撃を未然に防ぐだけでなく、今後誕生するかもしれない似たタイプの攻撃パターンやマルウェアの発生を高い確率で抑え、攻撃者のプロファイリングにも役立ちます。つまり彼らの仕事は技術的にも社会的にも非常に重要で意義のあるミッションなのです。
わずかな兆候でも逃さないようにしている
世界中の500万を超えるIP/ドメインを常時トラッキングし、ときには1日に100を超える怪しげなソースを毎日毎日解析し、ほんのわずかな兆候から生まれる前の脅威をあぶり出す - いかにも困難な作業ですが、FirstWatchでは「RSA Live Intelligene System」というインテリジェンスドリブンな脅威の検出システムが確立しており、高い精度で迅速にマルウェアの収集/解析を行うことを可能にしています。
ここで"インテリジェンスドリブン(Intelligence Driven)"という言葉が出てきましたが、日本語ではインテリジェンス=情報と翻訳されがちなので、なかなか正しいニュアンスを汲み取るのは難しいかもしれません。RSAはセキュリティにおける"リスクベース"というアプローチを非常に重要視しており、同社の製品やサービスはすべてリスクベースを基本にしています。膨大なデータを種類/系統ごとに整理してインフォメーションに変え、それを分析/評価し、知見(インサイト)を得ることで戦略的なインテリジェンスに変える。このインテリジェンスをもとに、リスクを事前に明らかにすることで、既知のマルウェアだけでなく、未知の脅威による侵入や攻撃も高い精度で防ぐことを可能にしているのです。
FirstWatchは「現在、企業セキュリティは4つの要素を考慮したセキュリティが要求されている」としています。
・ビッグデータインフラストラクチャ … 大量で多様、かつ頻繁に発生するデータを収集し、迅速な分析を可能にするシステムの構築
・強力なアナリティクス … 高速で高い精度の分析を行い、リアルタイムで脅威の存在を見つけ出す
・包括的かつ大局的な視点 … 起こっているインシデントを俯瞰し、攻撃のパターンを見つけ出す
・統合されたインテリジェンス … 見つけ出すべき脅威を正確に捉えるために、あらゆるインテリジェンスを統合する
とくに今回のイベントにおいてRSAは「ビッグデータドリブンなセキュリティ」を強く訴求していました。ここ1、2年でビッグデータ分析のための環境が整ってきたことで、過去に遡って膨大なデータを対象とした分析が可能になり、いままで見つけ出せなかった攻撃パターンを見つけやすくなってきた、つまりビッグデータはより強固なセキュリティのためのイネーブラーだという主張です。ただ、この部分に関してはすこしマーケ色が強いというか、ビッグデータをビジネスの中核として位置づけている親会社のEMCの意向が強く反映されているのかなあ…と感じてしまいましたが。
