--なぜインテリジェンスベースのセキュリティがRSAの進むべき方向なのか。
「CSI:科学捜査班」というテレビ番組を知っているだろうか。あれを見てもわかるように、物理的な世界で犯罪を解決する時にもインテリジェンスを活用する。オンラインの世界でも同じような方法が必要なのだ。
オンラインの世界では物理的な世界よりも多くの証拠をつかめる。例えば、誰かが私の財布からクレジットカードを盗んだとしよう。カードは街角で容易に利用可能だ。しかし、オンラインで盗まれたクレジットカード情報を使おうとした場合はどうだろう。IPアドレスや、カードを利用した時間などが明白になる。財布を盗まれた後、すぐに街角でカードを利用しても不正だと気づかれないかもしれないが、オンラインでカード情報を盗み出し、ロシアからログインされたとすれば、IPアドレスからしても不審な動きと捉えられる可能性が高い。こうしてさまざまな情報を集めることが皆の利益につながるのだ。
従来のセキュリティフレームワークが崩壊しつつある理由を話そう。これまでのセキュリティフレームワークは、制御レイヤではじまる。制御レイヤには、ID制御やインフラ制御、情報制御といったカテゴリがあり、このレイヤで攻撃を検知し、ポリシーを実行する。そしてこのレイヤの上に、制御管理レイヤが存在する。ここで現状のセキュリティモデルが崩壊するのだ。つまり、制御ばかりでそれぞれに関連がなく、それぞれ個別のコンソールを持ち、それぞれが個別のイベントを別々の場所にレポートしている。これを、何千、いや何万ものデスクトップと、何百から何千ものサーバに展開しなくてはならない。
その中のあるコンソールが「パッチが当たっていないサーバがある」と警告したとしよう。パッチが必要なサーバは山ほどあるため、単に警告が上がっても気に留めない可能性がある。イベントが山ほどあって、それぞれの背景がわからないため、どう対処していいのかわからない。それが現状だ。
しかし、もしID制御が、韓国からアクセスがあったと通知したとする。韓国には立派な帯域幅が存在するため、他国への攻撃の侵入経路として使われることが多い。とはいえ、EMCにとって韓国は大きなビジネス拠点となっているため、それほど気になることではない。しかし、もしそこでDLPシステムが、ある場所に重要な情報が含まれているSharePoint Serverがあって、現在そのサーバにアクセスしている人物がSharePointの脆弱性を悪用しているとリアルタイムに伝えてきたらどうだろう。これはすぐに行動を起こさなくてはならない情報だ。
この段階でデータがインテリジェンスに変わる。だからこそインテリジェントベースのシステムが必要となるのだ。
