Comments
Transcript
IT セキュリティ - Spire Research and Consulting
www.spireresearch.com IT セキュリティ 様相を変えるリスクとチャンス © 2014 Spire Research and Consulting Pte Ltd IT セキュリティ:様相を変えるリスクとチャンス ビッグ・データと分析への依存度が高くなるにつれて、IT セキュリティ侵害のリス クも高まっている。企業と政府にとって、それぞれの IT システムを保護するとい う責務が、かつてないほどに大きくなっている。今日の IT セキュリティは、米国 をトップとして、600 億米ドル産業である。脅威が増大するにつれて、既存の IT セ キュリティ・ツールは現状を維持するために十分なのであろうか。 IT セキュリティ産業は、成長への準備が整っている。その主要製品サービスには、 ファイアーウォール、アンチマルウェア、認証、暗号化と、その他 80 の製品カテゴ リーがあり、実績を積んでいる。米国の投資家は、この部門については楽観的であ る。2011~2013 年における IT セキュリティ会社への設備投資は 30 億ドルになり、 最終的には 300 程度の会社に資金を供給することとなった1 2。 ハートブリードの一件は、 「Titanic moment(タイタニッ ク的瞬間)」として、IT セキュリ ティの専門家に現在のシステ ムがいかに脆弱であるか警鐘 を鳴らすものであった。 大きな破壊をもたらす IT の脅威の最近の例は、 ハートブリード・バグである。これは、2014 年 4 月に発見され、60 万台ものサーバーに脆弱性が あるとされている。確認された脆弱性は、安全な トラフィックであることを示すインターネット・ ブラウザの小さな閉じた鍵と「https」でマークされる暗号化技術、Secure Sockets Layer(SSL)または Transport Layer Security(TLS)によるものであった 3。ハー トブリードの一件は、「Titanic moment(タイタニック的瞬間)」として、IT セ キュリティの専門家に現在のシステムがいかに脆弱であるか警鐘を鳴らすもので あった。 ハートブリード・バグの副次的な影響は、いまだ大きいままである。政府は最近、 リスクに対処するため、厳戒態勢をしいた。カナダ政府の指令は、すべての連邦省 にパッチをあてていない OpenSSL ソフトウェアを稼働しているウェブサイトを無効 にするよう命令した。米国政府はさらにインフラストラクチャの運営者と銀行に対 1 Venture Capital: The Lifeblood Behind Security, UBM Tech, Tim Wilson, 24 April 2014 IT Security Industry to Expand Tenfold, Forbes Magazine, Richard Stiennon, 14 August 2013 3 Heartbleed still a threat: Over 300,000 servers remain exposed, CBS Interactive Inc., Charlie Osborne, 23 June 2014 2 Page 2 し、ハッカーがネットワークの脆弱性を解析してハートブリードを悪用する可能性 があると警告を発した4。 ビッグ・データ時代の IT セキュリティ IT セキュリティの明らかなメリットは、プライバシーとより高いセキュリティ保証 を確保することである。しかし、ビッグ・データと Internet of Things(IoT)は 新しいチャンスと脅威を作りだし、IT 産業を新しい方向に転換させている。 セキュリティを向上させるデータ ビッグ・データと機械学習(データから学習できるシステム)を使用して、セ キュリティを向上させることができる。また、コンピュータを使用して、複雑 な信号を特定することも可能である。たとえば、システム・ログ、過去の攻撃 行動、好ましいターゲットのタイプなど、さまざまなタイプのデータを解析し て使用し、脅威が発生する前に特定することができる5 。これがどのようにも のかを示すのが Google の Sibyl で、これはインターネット・アプリケーショ ンからデータを特定してユーザーに推奨する、パラレル機械学習システムであ る6。 小売におけるセキュリティ7 テクノロジーにより買い物の仕方は向上したが、消費者は IT セキュリティの リスクにさらされている。英小売協会(BRC)の小売犯罪調査による 2013 年の 調査では、オンライン・セキュリティへの脅威の大きな拡大が明らかにされた。 過去 12 ヵ月間で、小売業者のほぼ 3 分の 2 がハッカーのターゲットとなって い る 。このよう な状 況に対し、 EU は 個 人データ保護規 則 ( General Data Protection Regulation)を提案した。この中で、データの侵害に対しては、 全世界での売上高の 5%または 1 億ポンドを上限として、罰金が課せられると している。オンライン小売業者は、犯罪のリスクに直面しているだけでなく、 4 More federal websites shut services over Heartbleed threat, The Globe and Mail Inc., Bertnand Marotte, 11 April 2014 By turning security into a data problem, we can turn the tables on the bad guys, Guardian News and Media Limited, Marc Rogers, 3 April 2014 6 Inside Sibyl, Google massively parallel machine learning platform, Datanami, Alex Woodie, 17 July 2014 7 The cyber risks facing UK retailers – lessons from the US, Guardian News and Media Limited, Seth Berman, 30 April 2014 5 Page 3 セキュリティやプライバシー管理における過失に関する規制リスクにも直面し ている。 ホーム・オートメーション8 ホーム・オートメーション(HA)も、ホームセキュリティの市場によって、成 長のための良いチャンスを提供する。自宅のすべての機器がインターネットに 接続され、携帯機器でモニターされていると想像してみよう。これは、Google のような大手の会社が提供している現実の話であり、Google は、2014 年に 32 億ドルで Nest Labs を買った。Nest Labs はホーム・オートメーションと IoT 製品のベンダーである。まだ姿を現したばかりのこのホーム IT セキュリティ のビジネス・チャンスの大きさは計り知れない。 IT セキュリティ・コンプライアンス・プログラムが人気な理由 セキュリティへの脅威が広がり、状況はますます複雑になるにつれて、さらに多く の企業が IT コンプライアンス・プログラムに取り組んでいる。このようなプログラ ムには、いくつものメリットがある。 合理化された IT 運営とプロセス セキュリティ解析が適用されると、プロセスとシステムで、IT セキュリティ管 理をどのように改善するかが判明する9。さらに、ツールをモニタリングする ことにより、基本的な IT 運用を変更して効率を上げる機会を特定しながら、 コンプライアンスとリスク管理の問題に目を配ることができる10。 ネットワーク・インテリジェンスとトラブルシューティング セ キ ュ リ ティ 情 報 およ び イ ベ ント 管 理 ( Security Information and Event Management:SIEM)ツールのようにユーティリティをモニタリングすることは、 セキュリティのインシデントを相互に関連付けるうえで有用である。しかし、 8 9 Nest and beyond: A beginner’s guide to Home Automation, Ziff Davis , LLC., Eric Griffith, 15 January 2014 5 Hidden Benefits of IT Compliance Programs, UBM Tech, 13 August 2012 同上 10 Page 4 これらはネットワーク全体の展開プロジェクト中のトラブルシューティにン グ・ツールとしても価値がある11。 ビジネス・インテリジェンスとプロセスの改善 IT コンプライアンス・プログラムは、ビジネス・パフォーマンスも向上させる。 たとえば、解析を使用してトレンドを予測し、在庫入庫ならびに移動の処理を 効率的に行う方法を探すことができる。さらに、プロセス文書を使用して現在 のプロセスを評価し、タスクを合理化する方法を特定することができる12。 新しいセキュリティ環境に、企業はどのように対処しているのか 今日、企業は、専門の IT コンサルタントに委 今日、企業は、専門の IT コンサ ルタントに委託する代わりに、社 内の IT セキュリティ能力を育て ることに重点を置いている。 託する代わりに、社内の IT セキュリティ能力 を育てることに重点を置いている。2013 年の 調査によると、企業の 65%が社内のリソース を利用している。これらの数値は、中東(73%)、日本(72%)、北米(71%)と いうように、世界全体でも裏付けられている13。 このトレンドは、ある驚くべき事実によると考えられる。内部セキュリティ事件の 記録によると、もっとも一般的な内部セキュリティの脅威トップ 5 は、スタッフの 行動と直接的な関連があった14。社内セキュリティは、従業員の行動パターンと関連 するリスクを理解することで、最大限の効果を得られると、企業では認識している ようである。 セキュリティ脅威を正確に特定する IT 状況が進化しても、セキュリティ脅威も並行して進化している。現在の一連の脅 威は、過去数十年のウィルスをはるかに超えて進んだものである。 マルウェア 11 同上 同上 13 65% of Companies Use In-house Resources for IT Security Training, Kaspersky Lab, 19 September 2013 14 同上 12 Page 5 マルウェアは、機器の所有者の同意なしにインストールされた「悪意のあるソ フトウェア」と定義される。これらは、ウィルス、ワーム、そしてトロイの木 馬から構成される。 2013 年、ザ・ガーディアン新聞が、リークされた極秘文書にもとづく最初の記 事を掲載した。その文書とは、米国の国家安全保障局(NSA)が米国民をスパ イしていることを示すものであった。後に、NSA の元局員であったエドワー ド・スノーデンが、自身が情報源であることを明らかにした15。 また、この後に続いた話の中で、数百万の数のコンピュータに感染して NSA が ターゲットとするコンピュータのマイクをのっとり、会話を録音できるように するプログラムが存在することが明らかにされた。これらのプログラムはさら に、コンピュータのウェブカムを妨害したり、写真、インターネットの閲覧履 歴のログ、ログイン詳細、パスワードを取り出したりできる可能性があった。 潜在的に危険な状態にあるデータには、キーストローク、またはターゲットの コンピュータに接続された取り外し可能なフラッシュ・ドライブからデータの 抽出が含まれた16。 ソフトウェアのバグ ソフトウェアのバグとは、問題か、またはプログラムをクラッシュさせたり無 効な出力をさせる不具合である17。 コンピュータ・ウィルスとなったソフトウェアのバグの最近の例は、ハートブ リード・バグである。2014 年 4 月に発見され、60 万台のサーバーを脆弱な状 態にさらしている 18 。ハートブリード・バグで露呈された欠陥により、鍵が ロックされているときでも、オンラインのトラフィックをスパイすることが可 15 The 10 Biggest Revelations From Edward Snowden’s Leaks, Mashable, Inc., Lorenzo Franceschi-Bicchierai, 5 June 2014 RT: Snowden Leak - NSA Plans to Infect ‘millions’ of computers, Jhaines6 blog, 12 March 2014 Software Bug, Janalta Interactive Inc., Cory Janssen, retrieved on 26 August 2014 18 Heartbleed still a threat: Over 300,000 servers remain exposed, CBS Interactive Inc., Charlie Osborne, 23 June 2014 16 17 Page 6 能になる。これにより、ハッカーは、ウェブサイトの所有者にセキュリティ侵 害を知られずに、暗号化されたデータを解読することができる19。 ボットネット ボットネットの「ボット」という言葉は、ロボットを短くしたものである。コ ンピュータがボット・マルウェアに感染すると、所有者の知らない間に同意な く、インターネットを介して自動タスクを実行する 20 。さらに、多くのコン ピュータが同時に感染すると、ボットネットが形成される。 2014 年には、Facebook が Lecpetex ボットネットの攻撃を受 け、25 万以上ものコンピュータが マルウェアに感染した。 2014 年には、Facebook が Lecpetex ボッ トネットの攻撃を受け、25 万以上ものコ ンピュータがマルウェアに感染した。影 響を受けたコンピュータは、ギリシア、 ポーランド、ポルトガル、インド、ノルウェー、そして米国がピンポイントで 狙われた。このボットネットにより約 5 万の Facebook アカウントがコント ロールされ、悪意のあるマルウェアの拡大に火を点けることとなった21。 ハッキング22 ハッキングは、あまり知られていない脆弱性を探し出す傾向にある。これは、 最近明らかになった 2014 年の LIFX 電球事件に当てはまる。これらの電球は、 携帯のアプリを介してワイヤレスで操作され、色を変えられる。製品に見つ かったセキュリティの脆弱性により、ハッカーは、Wi-Fi の詳細を入手して、 事前認証や許可なしに認証情報を解読できた。 LIFX はソフトウェアをアップデートしてただちに問題を解決したが、この一件 は、解決すべき悪夢となったかもしれない抜け穴を暴露するものであった。 19 What You Need to Know About the Heartbleed Bug, Yahoo! News, Bree Fowler, 9 April 2014 What is a botnet。Microsoft, retrieved on 26 August 2014 21 Facebook dismantled Lecpetex botnet which infected 250,000 Computers, Pierluigi Paganini @Security Affairs Blog, Pierluigi Paganini, 10 July 2014 22 Security Vulnerability Found in LIFX Smart Light Bulbs Exposes Home Wi-Fi Passwords, Fairfax Media, Ben Grubb, 9 July 2014 20 Page 7 IT セキュリティの新たな様相: 有望なベンダー23 IT セキュリティ産業が毎年 24%の成長を続ける中、企業ができる選択とはなんであ ろうか。ここでは、危険さを増している状況に対応するためのユニークな IT セキュ リティを開発している、いくつかの興味深いベンダーに焦点を当てる。 モカナ24 このベンダーは、モバイル機器アプリケーション用の暗号化およびコンテナー 化のためのソフトウェアライブラリを開発者に販売している。言い換えれば、 モバイル機器用のセキュリティ・ソリューションを提供している。同社はすで に、機器メーカへの販売で成功を収めている。 Csg Invotas25 これは、CSG International の一部門であり、電気通信プロバイダーと共同で、 ほとんどは自動問題解決をおこなっている。Csg Invotas は、IT セキュリティ における次の重大な出来事は、ターゲットを定めた攻撃への自動対応であると 予測している。Csg Invotas の目的は、検出後、数時間や数日ではなく、数秒 間で実行することが求められるステップを緻密に描き出すことで、効果的な対 応ソリューションにつながる情報にもとづいた検出を提供することである。 Norse26 Norse 社は、急速に成長している IT セキュリティのベンダーである。同社はア トランタに拠点を置き、世界中に 30 を超えるデータ収集ポイントを配置して 不正を検出している。この巨大なネットワークにより、Norse 社は新たな脅威 と悪意のある IP アドレスを可視化する。Norse 社はゲートウェイ・セキュリ ティ・ベンダーと提携を結び、フィードを提供して自身の DarkWatch 機器を構 築する。この機器は、数百万のアドレスにルールを適用するために必要な状態 メモリを既存のデバイスが扱えないときに、それ自体が展開する。 23 How pivots are creating the new crop of fast growing IT security vendors, Forbes, Richard Stiennon, 20 August 2014 同上 25 How pivots are creating the new crop of fast growing IT security vendors, Forbes, Richard Stiennon, 20 August 2014 26 同上 24 Page 8 今後の展望 IT セキュリティへの脅威が広がるにつれて、企業は、自身のシステムとデータを保 護する義務を負うようになった。危険な状態にあるのは商業上の盗難だけではなく、 規制者から高額な罰金を課せられる可能性のあるプライバシーの侵害というリスク がある。さらに、企業だけではなく、国家全体の IT エコシステムを守ろうとしてい る政府も、このような脅威を恐れいている。 ビッグ・データは、新しいリスクを生み出したが、そのようなリスクに対抗する新 しい方法も生み出した。若い新興 IT セキュリティ会社が、IT セキュリティ業界で 革新がいかに主要な役割を担っているかを示している。 サプライヤーの盛況、続く驚異の広がり、そしてビッグ・データと IoT によって作 られた、新しく出現したデータプール。これらはすべて、1 つのことを示している。 すなわち、IT セキュリティは日の出を迎えたばかりの業界であり、知的で起業家精 神にあふれたリーダーには扉が大きく開かれているということである。 Page 9