IBMには、100年以上の歴史の中で300人ほどしか生まれていない、スペシャリストに付ける役職「フェロー」がある。IBMのSandy Bird氏はセキュリティ部門の最高情報責任者(CTO)で、そのフェローを務める。Bird氏に、企業のセキュリティ対策への見通しとIBMの取り組みについて話を聞いた。人口知能(AI)を利用した施策やクラウドセキュリティを含め、エンタープライズ領域における対策の動向が見えてくる。
最近のセキュリティ犯罪のパラダイムについて
Bird氏は、CTOとしてグローバルセキュリティ技術を戦略的な視点から統括。2011年10月にIBMが買収したQ1 Labsの共同設立者でもあり、セキュリティプラットフォームであるQRadar Security Intelligence Platformにおけるテクニカル担当の第一人者だ
Bird氏 サイバー攻撃などの犯罪において攻撃者側の組織化が顕著な傾向だ。犯罪組織のボスを筆頭に、その下にトロイの木馬の提供者やC&C管理者がおり、さらに盗まれたデータの再販事業者やそれを流通させるアフィリエーションネットワークなどが存在している。
防御する側は、犯罪者情報の共有に苦労しているが、最近になって協力体制を築けるようになってきた。Security Operation Center(SOC)による事後対応の質が上がるなど、人とプロセスとテクノロジを合わせた運用が実現してきている。
IBMとしては、情報を共有していアクションを取るための「コラボレーション」、ワークロードとデータの安全なクラウド移行を進めるための「クラウド」への取り組み、理解・推論することで学習するセキュリティ技術による脅威対策である「コグニティブ・セキュリティ」の3つを取り組みが柱だ。
コラボレーションでは、700テラバイトを超える脅威データを持ち、1日に150億件超のデータを扱う脅威情報源として「IBM X-Force Exchange」を運用している。データソースは16業界にわたる2000社の企業、世界最大規模の5銀行、トップ10の小売業者のうちの6業者などだ。
また、セキュリティ分析ソフトウェア「IBM Security QRadar」に、ビジネスパートナーが独自のアプリケーションを追加するサービス「IBM Security App Exchange」も展開している。日本でも10月13日に、エコシステムを結成すると発表した。他社のソリューションを交えることで、IBMとしてもセキュリティ機能で差別化できる。
攻撃の質的変化やAIで変わるセキュリティアナリストの役割
Bird氏 10年前のアナリストの役割は、IDS/IPSなどが検知、解決対象とする攻撃について、問題がないのに検出してしまう偽陽性をいかに減らすかにあった。それがこの5年で、脅威へのハンドリングや複数プラットフォームからの情報統合などに移ってきた。
今後は、セキュリティ分析ができる技術者が足りないという前提のもと、教育プログラムへの投資や大学との連携などを進めている。