1 - EMC Japan - EMC Corporation

RSA Security Findings
高度な脅威に対峙するための新たな視点：ビジネス駆動型セキュリティ
Business-Driven Perspectives
RSA Conference 2016 Asia Pacific and Japan 基調講演（7 月 20 日）
RSA, The Security Division of EMC プレジデント
Amit Yoran アミット・ヨラン
要約：求められているビジネス駆動型セキュリティの視点
様々な手法で繰り出されるサイバー攻撃により甚大な被害をこうむり続け、脅威に負け続けている理由は、私たちが長
年同じ「視点」で攻撃に備えているからだ。侵入を防止するための境界型防御に重きを置く「視点」だ。いっぽうの攻撃
者は、私たちの脆弱点を探し出すために、「視点」をあれこれ変えて「最適な」攻撃方法を繰り出している。絶対に侵害さ
れないシステムは非現実である今、同じ視点を維持し、侵入対策のみに注力していては、事態の改善は望めない。これ
に対する新たな「視点」とは、システムやネットワークから情報を収集し、先進的な分析方法と高度な可視性を活用して
脅威を迅速に特定することだ。さらにこれらを組織間で共有すれば、より洞察力を高められる。そしてセキュリティ部門が
経営層と同じ言語で会話し、ビジネス視点でセキュリティリスクを考えることだ。これにより経営層は、セキュリティ脅威を
ビジネスに重ねて理解できるようになる。この「ビジネス駆動型セキュリティ」の視点が組織に求められている。
RSA Conference APJは、ここシンガポールで4度目の開催となり、喜ばしいことにカンファレンスは大きく
成長しています。今年は近隣諸国および日本からおよそ5,500人が参加し、展示ホールでは100以上の出
展社が最新のソリューションを紹介しています。
グローバルなサイバーセキュリティのコミュニティは驚くべきペースで拡大し、世界で最も深刻な脅威に対処して
いるのは素晴らしいことです。私たちには多くの仕事が待っていますが、まず問題を正しく捉える必要がありま
す。そこで、本日は「視点（perspective）」について話します。
私たちは頭の中で常に物事を処理していますが、自分の視点や重要性を基準に、不要なものを除外してし
まっています。たとえば、街並みを眺めているとします。芸術家であれば、微妙な色の変化やガラスに当たった
光の反射など、細かなことに気づくでしょう。建築家なら、建物の構造的な完全性について把握できるデータ
ポイントに目を向けるでしょう。そして、未来学者はその街の10年、20年、30年先の可能性を想像します。
1
つまり、それぞれの個人的な経験が各自の視点になるのです。
私はワシントンD.C.からやって来たばかりですが、この地域では視点がゆがめられることが時々あります。
最近の世論調査では、トランプ氏が大統領に就任した場合、ほぼ70%のアメリカ人が「不安になる」と答え、
残りの30%が「カナダに移住する」と答えた、とされています。
セキュリティの専門家である私たちは新技術に懐疑的ですが、そうした技術がすべての組織にとって、単一か
つ最強のレバレッジポイントとして機能することも理解しています。こうした技術は効率性や競争力を左右す
るだけでなく、市場や業界を根本的に変えることが可能で、防御、インテリジェンス、公共サービスの基礎を成
すものでもあります。しかも、技術は現状にとどまらず、常に変化し、進化し、前進しています。組織は今、こ
の新たな現実を受け入れないと、時代遅れになることを認識しています。データポイントと分析が、共通の視
点を共有することにつながればと思います。
今後、必要になる視点や取るべき行動は、劇的に変わるかもしれません。視点というものがどれほど大きな力
を与えてくれるのか、どのように私たちの行動や結果を変えるのかについての例をご紹介しましょう。
1960年代、米国の走高跳の選手だったディック・フォスベリーという人をご存知でしょうか。ディックの成績はお
粗末で、あるインタビューではチームで一番ダメな選手は自分だと話したほどです。しかし、ディックは視野の広
い人でした。周りで起こっていることに目を向けて自分の視点を変え、その結果、見事に自分の行動を変える
ことができたのです。
1960年代より以前は、着地用のマットにはおがくずが使われていました。現在使われているような柔らかい
マットはまだ考案されていなかったため、選手には足から着地するしか方法がありませんでした。ところがディック
が十代の時に柔らかい着地マットが登場しました。大半の選手がはさみ跳びやウエスタンロールを続ける一方、
ディックは着地を違う視点から見るようになります。足で着地しなくても良いくらいにマットが柔らかいのであれば、
跳ぶ方法を変えない手はありません。ディックはまず頭と肩からバーを越え、背中で着地するという新たな跳
躍法を見出しました。
この跳び方はフォスベリー・フロップ（背面跳び）と呼ばれています。重心
を分散させられるため、バーを越える時間を長く稼げます。1968年のオリ
ンピックでは、この型破りなディックの方法は世界中から注目を集め、金メ
ダルを自国に持ち帰り、大勢の人々を驚かせたのです。柔らかいマットと
2
いう新技術は、選手たちに考え方を変える「機会」を与えました。とはいえ、新しい方法を「選択」したのは
ディック以外に誰もいませんでした。
ディックの勝因は、新たな環境をうまく利用し、誰よりも先に自らの方法を変えたからです。ディックより後の選
手たちは彼のスタイルを磨き続けてきました。ただし、ディックが最初でした。彼はライバルよりも賢かったのです。
私たちがやらなければいけないのは、まさにこれなのです。
では、考え方を変えるために、まずは事実から見ていくことにしましょう。
ガートナーによると、2015年だけで750億ドルがサイバーセキュリティに費やされており、2020年までこの傾
向が続くと予測されています 1。脅威の高速な検出と対応に割り当てられる企業の情報セキュリティ予算の割
合は、2014年では10%未満でしたが、これが60%に跳ね上がると見込まれています。
RSAの独自調査 2でも現状が明らかになっています。
アジア太平洋地域および日本（APJ）に拠点を置く組織の70%以上が、過去12か月間にサイバー侵害
を経験しています。なんと70%です！私は、残りの30%には単純に侵害を検出できなかった組織がかなり
含まれているのではないかと考えています。
世界的に見ると、セキュリティインシデントは前年比で66%増加しています。高度な攻撃を検出できない可
能性がある、または検出できない可能性が非常に高いと回答した企業は56%にのぼります。RSAの調査で
は、APJの組織の90%が、すばやく攻撃を検出して調査できないことに不満を抱いていることが明らかになっ
1
http://www.gartner.com/newsroom/id/3135617 （2015 年 9 月 3 日発表）
2016 RSA Cybersecurity Poverty Index （2016 年 7 月 20 日発表）
https://www.rsa.com/en-us/perspectives/resources/rsa-cybersecurity-poverty-index-2016
2
3
ています。
精神疾患の定義として、同じことを何度も繰り返しながら、違う結果を期待することが挙げられます。つまり、
結果を変えたいのであれば、視点と行動を変える必要があるのです。
私たちは創造性、忍耐、粘り強さをもって、攻撃者に照準を置いて対処しています。敵はさまざまなツールを
意のままに使うため、予測することができません。攻撃は成功するまで練り上げられます。私たちが闘っている
のは人間の強力な知恵だということを忘れてはいけません。
私たちが保護対策を整備するようになったために、攻撃者は違う角度から挑戦を試みるようになりました。
しかも、攻撃者は超高速で新たな行動を起こします。ここ数年の侵害を見てみると、攻撃は進化した技術を
使って行われているのではありません。攻撃者が使っている「マット」は、私たちが使っているものと同じです。
それなのに攻撃が成立しているのは、攻撃者が「進化」しているからです。だとすれば、私たちも進化すべきで
はないでしょうか？
次世代ファイアウォールやサンドボックス、ホストの武装といった魔法で敵を締め出すことはできないでしょう。
攻撃の撲滅は困難で大変な手間がかかります。しかし、なぜこれを実行に移さないのでしょうか？ 恐らく、
何をすればよいのかがわかりにくいのか、あるいは、前例が無いからかもしれません。とはいえ、勇気を持って始
めない限り、これまでと違う結果は出ないのです。
もう1つ、80%という数字について考えてみましょう。別の調査によると、今後12～18か月のセキュリティ戦
略を見直しているCSOは75%～85%にのぼります。この理由は、サイバーセキュリティがますます上層部の
課題になっているからです。取締役などの重役から、従来から多くの質問が寄せられています。多くの予算を
かけているため、侵害が発生した場合の事業への影響をしっかりと把握したいのです。これは政府や公共部
門にも当てはまることです。
現在、ビジネスとセキュリティは転換点を迎えています。
現在の高度な脅威を検出して対応する戦略を強化しなければ、私たちは負けてしまうでしょう。このままでは、
1968年のオリンピックで金メダルを逃した走高跳の選手たちと同じです。この状況を一緒に変えようではあり
ませんか。 ディックのように視点を変え、違う方法でやってみるのです。境界防御、署名、ログ、SIEMだけで
安全を確保できるという、誤った期待を捨てるのです。
CSOは、セキュリティインシデントが事業の継続性や知的財産、評判に及ぼす影響を把握したがっています。
4
これには環境内で起こっていることをただ嗅ぎつけるのではなく、確実に把握するための高度な可視性を活用
するという視点が必要です。
私たちには、新たな分析や検出方法から提供される視点が必要です。つまり、高度な可視性を活用し、
ネットワーク上、システム内、ユーザーのふるまい（行動）で異常を特定する視点を持つことです。そうすれば
事態をすばやく理解し、適切に行動できるようになります。
それからITセキュリティの問題や、組織の重要事項の周辺にあるビジネスの状況から知識を得るための視点
も必要です。実際のところ、CEOや取締役は「Internet Explorerの脆弱性を利用するAnglerが原因で
侵害が発生した」などということは気に掛けていません。彼らにとっての重要事項は、事業への全体的な影響
です。必要なのは、セキュリティの細部とビジネスの状況を結びつけることです。
サイバーセキュリティに対するこの新たな視点の本質は、古いツールやシステムで得られる情報よりも、総合的
でより良い洞察を獲得する必要性です。こうした新たな視点を持つことが今後の課題です。私たちはこれを
「ビジネス主導のセキュリティ（Business-Driven Security）」と呼んでいます。
より的確で競争力のある視点を持ちながら、革新的なベ
ンダーやRSAが開発している、次世代のサイバーセキュリ
ティソリューションで我々の業界を発展させることが最終目
標です。
断片的なサイバーセキュリティ問題にポイントソリューションが功を奏したのは昔の話です。
現在の攻撃者は執拗で、技巧を組み合わせて組織的に攻撃を画策してきます。現在の標準的な攻撃キャ
ンペーンに対抗するとなると、ポイントソリューションはウイルス対策や侵入検知システムと同じく、概念設計と
いう点で不完全であり有用ではありません。
適切な可視性が確保されている高度な分析には、将来にわたり大きな期待が持てます。RSAでは複数の
分析手法を提供しており、いくつかの優れた結果が出ています。ただし、はっきり言っておかなければなりませ
ん。魔法の解決策はありません。ビッグデータ、機械学習、行動分析…これらはすべて有益なマーケティング
概念で、私たちの仕事にも応用できます。ただし、サンドボックス技術と同じく、高度な脅威に対する戦略に
はならないのです。
5
ツールだけではこの戦いに勝てません。問題をしっかりと理解できる、ずば抜けて優秀な人間が必要です。
この問題の解決には皆さんが必要なのです。
私はサイバーセキュリティのツールを、氷河を進むときに必要なカラビナやロープ、ピッケルといった道具に置き換
えたくなります。こうした道具は氷の上では役に立ちますが、持っているだけで十分ではありません。道具はうま
く使いこなす必要があります。ただし、不可能に思えることに挑戦するためのビジョンと勇気がなければ何も始
まりません。
私の娘は5歳のとき、「Why(どうして？)」がお気に入
りでした。事あるごとに「Why? Why? Why?」です。
親としては頭がおかしくなりそうでしたが、こうした好奇
心を忘れないで欲しいのです。好奇心とは、答えを見
つけたいという欲求であり、とことんまで真実を追求す
る必要性であり、違った視点を持とうとする意志です。
5歳の頃の執拗でうるさかった私の娘のようになってく
ださい。敵を「どうして？」で根負けさせるのです。
サイバーセキュリティの戦略を立てるときは、把握したデータポイントをいろいろな視点から分析してください。
線を引いたり結び付けたりしながら全体像を描き、すべての領域に目を通すようにするのです。異常値や例
外、想定と異なるデータを探してください。組織の考え方を知るには、街並みを眺めながら自分がどのデータ
ポイントに目を向けるべきかについて考えてみてください。ディック・フォスベリーのように、新しい「マット」を味方
につけるにはどうすればいいのか自問してください。それに答えが出たら、もう一度自問してください。そして「どう
して？」「どうして？「どうして？」と何度も繰り返してください。マンネリは禁物です！
変化すること、そして考え方や視点を変えることを恐れてはなりません。
攻撃を阻止しようとする技術だけに頼るのは終わりにしましょう。そろそろ違った角度からものを見なければい
けません。今こそ、侵害や脅威を企業や政府に及ぼす影響に関連付けるサイバーセキュリティプログラムを構
築するときです。 企業のニーズによって推進される、優れた戦略を打ち立てなければなりません。そのために
は、違う視点を持つ必要があるのです。
私はサイバーセキュリティに携わったおよそ25年間の大半を、ネットワークの監視と重大インシデントへの対応
6
に費やし、侵害がもたらす忌まわしい現実を無防備な組織に理解してもらうための支援を続けてきました。
悪意に満ちたサイバー世界の現実がどのようなものであるかを把握してもらうためです。長い経験のためか、
私はとても頑固ですが、業界に対する私の義務だと考えています。それは、皆さんにできるだけ率直に話をし、
視点を共有することが私の義務であるのと同じです。
私たちの仕事は重要です。全世界にとって一日たりとも欠かすことなく重要です。私たちの組織、お客様、従
業員、パートナー、そして家族にとっても重要です。「私たちが全員で」成功しなければ、現代の社会も、人
間の未来への可能性も、宇宙、医薬、運輸、電力、啓蒙における私たちの細やかな取り組みも実現しませ
ん。
職場へ向かうときはいつも、皆さんの仕事が重要であることを思い出してください。来週、何かの会議の席で、
より高度な視点を求めている皆さんこそが、フォスベリー・フロップでバーを跳び越えたディックです。繰り返しま
すが皆さんの仕事は重要です。リーダーシップの構築や形式的な雑務に追われ、日ごろの取り組みと法規制
順守の体制の違いがまだ理解できていない方は大勢いらっしゃるでしょう。それでも、弱気になったり、あきら
めたりしないでください。
皆さんの努力こそ重要なのです。
7
RSA Security Findings 2016年8月19日号
発行元
EMCジャパン株式会社 RSA事業本部 マーケティング部
TEL : 03.6830.3341
eMail : [email protected]
Web : http://japan.rsa.com
Twitter :RSAsecurityJP
EMC2、EMC、RSA、RSAロゴは、米国およびその他の国におけるEMC Corporationの登録商標または商標です。
他のすべての名称ならびに製品についての商標は、それぞれの所有者の商標または登録商標です。
RSAC APJ 1608-J
8