米EMCのセキュリティ部門であるRSAは2月16日(米国時間)、サンフランシスコにて開催中の「RSA Conference 2011」にてAPT(Advanced Persistent Threats)攻撃に対抗する構想を説明した。
APTとは、密かにかつ継続的に行われる高度なサイバー攻撃を指す。これまでハッカーはネットワークやインフラを狙って攻撃を仕掛けていたが、APTでは機密データへのアクセス権限がある特定の従業員が狙われるといった特徴があるという。
APT攻撃に対抗するには「セキュリティオペレーションセンター(SOC)をよりインテリジェントなものにしなくてはならない」と、米EMC セキュリティ部門 RSAのCTO(最高技術責任者)Bret Hartman氏。そこで同社は、インテリジェントなSOCに必要な要素を6点挙げた。
まず1点目の要素は、リスク計画が可能であること。次世代のSOCでは、どの資産が重要で保護すべきものかを見極める必要があるという。GRC(ガバナンス、リスク、コンプライアンス)ポリシーに基づいて企業の資産に優先順位をつけるといったリスク評価が必要になるとしている。
2点目は、攻撃のモデル化だ。どのシステムや人、処理が価値のある情報にアクセスしているのか判断して攻撃をモデル化する。脅威がモデル化されれば攻撃の方向性を判断でき、アクセスポイントを効率的に切り離す防御手段も検討できる。
3点目は、仮想化環境を活用することだ。マルウェアの疑いがあるメールや添付書類などの疑わしいデータを、分離されたハイパーバイザ内で起動、マルウェアに感染した場合は仮想マシンを切り離すといったことを想定している。
4点目は、セルフラーニングと予測分析だ。将来的にSOCはコンプライアンスの監視とリスク管理を統合し、システムが環境を継続的に監視して問題パターンの早期特定につなげる必要がある。統計ベースの予測モデルは、複数のアラートの相互関係を見つけ出すために役立つという。
5点目は、自動化されたリスクベースの意思決定システムだ。リスクを瞬時に査定し、そのリスクに応じた対応策を自動で実行できるSOCが求められている。動的タイポグラフィはクラウドのシステム自動化において見込みがあるという。APTを実行するには、攻撃者がネットワークマッピングを理解し、モデル化する必要があるが、企業側は攻撃を防ぐためにネットワークインフラを再マッピングする。このプロセスが自動化されるのだ。
6点目は、犯罪科学分析とコミュニティ学習で継続的に改善を加えること。犯罪科学分析はSOCにとって欠かせない要素で、攻撃の影響を緩和させる鍵にもなる。また、仮想化環境はセキュリティイベント発生時にIT環境のスナップショットを提供でき、これが攻撃の検出が遅れた場合に役立つ情報となる。将来的にSOCは攻撃パターンに関する情報を共有できるようになるとしている。
この構想についてRSAは「Mobilizing Intelligent Security Operations for Advanced Persistent Threats」(APT攻撃に対抗するインテリジェントなセキュリティ運用のまとめ)という冊子を発行している。ここに挙げられた手法はすでに実現可能な技術もあるが、Hartman氏は「われわれの提供するツールですべて実現できるようにしたい」と述べている。