われわれが説く「可視化」は、こうした情報はもちろん、すべてのパケットをネットワークを超えてモニタリングしている。「パケットベースでどんなデータがやり取りされたのか」を把握することが可能だ。データの内容は、例えば(持ち出されようとしたデータが)設計図なのか財務資料なのかまでを可視化できる。
既存の「監視」は、過去のネットワークトラフィック量と比較し、それが異常かどうかを判断していた。インテリジェンス主導型セキュリティの「可視化、分析」は、従業員の(システム上での)行動やアプリーション同士の通信など、リアルタイムで起こっているやり取りを連携させ、コンテキスト(相関関係)ベースで判断している。
展示会場では「Advanced Security Operations Center」のデモもあった
われわれの「Advanced Security Operations Center」が行う分析は、セキュリティインシデントの分析と同時に、その攻撃がどのくらい自社のビジネスにインパクトを与えるのかまでを多角的に分析し、解決の優先順位を付けている。例えばIPアドレスを狙った攻撃で、それが特定部門のIPアドレスを狙っているのかランダムに狙ってきているのかで、攻撃の深刻度と対処する解決のアプローチも異なってくる。
個人情報流出事件は「セキュリティ対策も含めた情報公開を」
――「従業員の行動」という観点から、ヒューマンエラーについて教えてほしい。最近日本では、アクセス権を与えられていたアウトソーサー(外部委託先)が2000万件以上の個人データを盗み出し、第三者に販売した事件が発生した。こうしたインシデントに対し、企業はどのように対策すべきだと考えるか。
アクセス権があったとしても、正しいガバナンスが働いていれば、2000万件もの情報流出には至らなかったと考える。とはいえ、“人”による個人情報の流出事件は、米国でも発生している。誤解を恐れずに言えば、大なり小なりではあるが、データ流失を経験している企業は多い。
そうした時に大切なのは、流出に関連する情報を詳細に公開することだ。単に「どのくらいの情報が流出しました。その原因は従業員やアウトソーサーによる盗難でした」だけではない。どのようなセキュリティポリシーを策定し、どのように運営していたのかを、第三者が理解、納得できるようオープンにする必要がある。
2000万件の個人情報流出は、その会社にとっては大打撃だろう。しかし、きちんと情報を公開すれば、他企業にとっては“他山の石”となる。
事件については詳細を把握していないが、データトラフィックを可視化(この場合はモニタリングでも十分可能だ)していれば、(一般論として)大量のデータが特定の端末から外部記憶装置にコピーされたことに気付く。
インタビュー中のAmit Yoran氏。ベネッセの情報流出件数を伝えたとき「2000万件? どうやって?」と驚いていたのが印象的だった
――その会社の社長は顧客へのお詫びとして「(同じように個人情報を流出させた)過去例では500円」と発言し、一定金額の補償金を支払う意向を示唆した。これは正しい判断だと考えるか。
米国の場合は、お詫びの手紙と記者会見だけだろう(笑)。補償金を払うことが正しいか、1人あたりの金額(500円)が適切かどうかの判断は難しい。ただし、正しい情報管理と適切なセキュリティ対策をしていれば、莫大な補償金を用意する必要はなかったはずだ。