米EMCセキュリティ部門のRSAが主催するセキュリティイベント「RSA Conference 2013」が米国サンフランシスコにて3月1日まで開催されている。
Symantecの製品およびサービス担当プレジデントであるFrancis deSouza氏は2月26日、基調講演でStuxnetに関する新たな知見や、ビッグデータをセキュリティに生かすための戦略などについて語った。
Francis deSouza氏は、産業用制御システムを攻撃するマルウェア「Stuxnet」に関するホワイトペーパーをリリース(PDF)したと発表した。2010年に発見されたStuxnet 1.0よりも古いバージョン0.5を発見したという内容で、2005年から存在していたことを掴んだという。いずれもウラン濃縮施設を狙ったものだが、異なる動きをするとした。
ビッグデータを生かすための“ビッグインテリジェンス”とは
ホワイトペーパーの公開をアナウンスすると、deSouza氏は話題を変え、ビッグデータとセキュリティ解析について話し始めた。同氏はビッグデータを「単にストレージのコストが上がるというものではなく、生かすための戦略として“ビッグインテリジェンス”が非常に重要になる」と指摘。具体的には、(1)脅威の状況を理解すること、(2)資産を理解すること、(3)自己を理解すること——3点が重要だとした。
(1)脅威の状況を理解すること
ビッグインテリジェンスという点で、シマンテックは「15億のセキュリティイベントに加え、1.7兆億のインシデントを解析し、1億以上のURLを監視している」とdeSouza氏。これは世界でも有数のビッグデータ分析だという。「これらのデータの解析は6時間ごとに行っており、脅威の状態が今どうなっているかがよくわかる」(deSouza氏)
一方、「単体のマルウェアに関する脅威の度合いを判別することも重要だが、もっと大きく考えて、攻撃そのものの属性、あるいは攻撃している人の属性を見ることが重要」だと話す。具体的には、ある犯罪組織が銀行を攻撃するときは必ず金曜日の5時——などといった特性を把握することが重要で、それをもとに次のアタックを予測し、標的になっている組織に知らせることを考えているとした。データの収集や分析に留まらず、そこから洞察=インテリジェンスを獲得することが大切なのだ。
(2)資産を理解すること
ビッグインテリジェンスでもう一つ重要なのは、外部環境だけでなく「自分の資産」をよく知るということだという。具体的には、データセンターやクラウド環境の状況をきちんと理解し、どこに一番重要な資産があるのかを整理、把握することだとした。
deSouza氏は、企業がもつデータの中でも本当に重要なのは5%しかないとも指摘する。「その5%がどこにあるのかを知ることが重要だ。この取り組みこそ、自分たちの資産を理解するということ」だと語った。
(3)自己を理解すること
自己を理解することとは「企業における通常の状態(ノーマル)を理解すること。攻撃だと気づくためには、ノーマルがアブノーマルに変わるまさにその時を知らなければならない。だからこそ、通常の状態を知ることが新しいインテリジェンスになるのだ」とした。
人材不足の中でのパートナー選び
包括的な情報セキュリティ戦略を進める上では、パートナーとなるベンダーの選び方も重要になる。
deSouza氏は、ある世界最大規模の銀行のCRO (Chief Risk Officer)と会談した際のエピソードを披露。「その銀行は毎年3億ドルをセキュリティに費やしており、65社ものベンダーから製品やサービスを購入しているという。だが、その予算の3分の1が製品の統合や保守などメンテナンスのために使われているため、ハッピーではない。これらのインテグレーションは、私たちのようなベンダーがやるべきだと考えている」と自信を見せた。
現在、セキュリティ人材の失業率は0%で、逆に30%程度の人員が不足しているといわれている。そうした中でセキュリティを任せられるパートナーを探すには、セキュリティシステムに関する知識が重要であるとともに、どのようにリスクを軽減していくかを考えていく必要があるとした。
シマンテックでは、1月に新たな企業戦略を発表しており、「優れた製品とサービスをテーラーメイドで提供し、同時にその情報収集や購入、利用、サポートまでを簡単に行えるようにする」としている。 研究開発や社内イノベーションに対する投資を増やすほか、行政や他のセキュリティ会社ともパートナーシップを組みながら、“ビッグインテリジェンス”を中心とした新たなイノベーションと新技術の開発を通じて、顧客ニーズに応えていくとした。