では今後、どうすべきか。それは、攻撃が確認された後に解析するのではなく、常に脅威を最初に見つける必要があります。個人を狙う攻撃が中心になっているという仮定に基づいて対策するわけです。
たとえば、毎週月曜日の9~17時に、送受信されたすべてのメールのデータを取ります。これにより、どのIPアドレスからどれだけ送信されているか、どんな言語が使われているか、スパムのスコアはどのくらいかなどをすべて記録し、傾向を把握します。そうすれば、その傾向と異なるものが出てきたときに、内容を調べたり止めるといったアクションを取ることができます。
この手法は、悪い人間がどういうメールを送ってくるかを見ることもできますが、それとは逆のアプローチです。ふだん、普通の人がどんなコミュニケーションをしているかを把握することで悪いものを見つける。いいものを記録して悪いものを見つけるという新しいアプローチは、5年前くらいはコストが高くてできませんでした。それが、HadoopやCassandraなどの技術を使うことで、比較的容易に実現できるようになったことも背景にあります。
Proofpointでは、すでに解析を始めており、一日数十億通のメールを処理し、数百万通のレベルでスパムの解析、フィードバックに活用しています。具体的には、送受信されたすべてのメールのデータを記録すると、ピークやトレンドがわかります。また、送信者が送っているメッセージの数、ひとつのメッセージに含まれる受信者の数、言語、サイズ、メールソフト、OSなども属性として収集します。
すると、いつもと違うところにピークがあったり、同じ人なのに違うOSやメーラーでメッセージが届いたら「これはおかしい」ということになります。個人個人を分析してすべてのデータを持っていれば、新たな攻撃も見つけられるのです。この分析も、クラウドの技術を活用することで実現しています。
収集したビッグデータを解析し、個々のデータを関連付けることで通常の行動かどうかを見分けられます。この技術の副産物としてレポートに活用することも可能です。たとえば、対象となる人がどんな使い方をしているかがわかるようになります。
もちろん万能策ではないですが、こういった分析を既存の製品に追加することで、防御の層を増やすことができ、保護を厚くできます。
――その技術を応用すればスパム対策だけでなく、外部からの攻撃の検出などにも活用できそうですね。プロトコルに対するアクションを定義できれば可能だと思います。でもProofpointは、あくまでメールの領域から分析を始めていき、脅威を見つけるところにフォーカスしていきたいと考えています。顧客企業がよりよいものを手に入れられれば、これ以上うれしいことはありません。
――分析機能を製品に導入する、具体的なロードマップは決まっているのでしょうか?分析機能は、開発を続けている状態です。それでも12カ月くらいで製品に順次搭載していきたいと考えています。分析機能は、個々のアプライアンスに入れるよりも、共通のプラットフォームを使ってアクセスできるようにしたい。そうすれば、すでにシステムを導入しており、それを変えたくないという顧客企業でも使えますからね。基本的にはどのような言語でもストアできるようなシステムを作っているため、日本語にも対応します。
Keep up with ZDNet Japan
ZDNet JapanはFacebookページ、Twitter、RSS、Newsletter(メールマガジン)でも情報を配信しています。現在閲覧中の記事は、画面下部の「Meebo Bar」を通じてソーシャルメディアで共有できます。