「マイナンバーは必ず狙われる、そして攻撃者は侵入に成功する」、RSA幹部が警告

　2015年3月、米EMCセキュリティ部門であるRSAの最高技術責任者に就任したZulfikar Ramzan氏。社歴は短い同氏だが、博士号取得時にはマサチューセッツ工科大学にてRSAの「R」であるRonald L. Rivest氏の元で研究しており、「RSAについては、社内でもほとんどの人が知らないようなことまで詳しく知っている」という。

　これまで大企業からスタートアップに至るまで、さまざまな企業でサイバーセキュリティに携わってきたRamzan氏。オンライン詐欺やマルウェア防御、セキュリティアナリティクスなど、担当した分野も幅広い。こうした経験は、「脅威の状況が日々変化し、迅速に変化することが求められるセキュリティ企業で生かすことができる」と同氏は考えている。

　ただしRamzan氏は、変化への対応が求められるのはセキュリティ企業だけではないと話す。RSA プレジデントのAmit Yoran氏が「RSA Conference 2015 Asia Pacific & Japan」の基調講演でも述べていたように、一般企業のセキュリティ対策にも変化が必要だというのだ。企業が脅威に立ち向かうには、どのように変化すればよいのか。同イベントにスピーカーとして参加していたRamzan氏が、日本からのメディアのインタビューに応じた。

検知とインシデントレスポンスにも投資せよ

――アジア太平洋・日本地域と米国を比較した場合、企業のセキュリティ対策に何か違いを感じることはあるか。

　セキュリティ対策における予算の構造が違うと感じている。アジアではこれまで、約80％の予算を防御に費やしてきた。検知に費やす予算は約15％、インシデントレスポンスには約5％しか費やしていない。だが、検知やレスポンスにももっと予算を費やすべきで、防御、検知、レスポンスにそれぞれ予算の3分の1ずつ投資することが理想だと考えている。この方向にシフトしてはいるが、最近の攻撃の手法を考えるともっと早くこの理想の投資構造に近づくべきだ。

　攻撃者は非常に専門性が高くなってきているため、1つのテクノロジですべての脅威に対応できるわけではない。攻撃者が侵入した場合、いかに早くそれに気づくかが重要で、対応までの時間をスピードアップさせる必要がある。

　最近起こった顧客先での話なのだが、セキュリティ監査の最中、まさに不正アクセスが行われている瞬間を発見したことがあった。そこで、セキュリティ監査から急きょインシデントレスポンスに対応を切り替え、攻撃者を調べることにした。彼らが何をしようとしているのか、利用しているツールや作戦、方法はどんなものかを突き止め、攻撃を阻止することに成功した。エグゼクティブのメールにZIPファイルを送りつけようとしていたのを、寸前で削除したのだ。その時、攻撃者はこのゲームに負けたことを非常に悔しく感じたらしく、ここでは言えないようなひどく汚い言葉でわれわれのチームに文句を言ってきたよ。

　このような例もあるのだから、防御だけでなく検知とレスポンスにも力を入れてほしいと思う。脅威の環境は常に変化しているのだから、5年前のように防御だけのアプローチだけでは現在の脅威に対応できない。早く皆そのことに気づいてほしいと願っている。

――日本ではマイナンバー制度を導入しようとしているが、堅牢なファイアウォールがあるため情報漏えいは起こらないと政府が主張している。この件についてコメントを伺いたい。

　いくら堅牢なファイアウォールを用意しても、頭のいい攻撃者は必ずその壁を乗り越える。それが次世代の壁であったとしてもだ。つまり、不正アクセスが起こらないような仕組みを考えるのではなく、不正アクセスがあった時に何をすべきかを考えるべきなのだ。重要なデータを狙う攻撃者は必ず存在し、侵入にも成功するだろう。だからこそ、侵入された時の対応を考えておくべきだ。

――攻撃の手法はそれぞれのケースで異なるため、対処方法も異なってくる。実際、企業はどのような対策を立てればよいのか。

　われわれが顧客に伝えているのは、ネットワークやエンドポイント、クラウドなど、システム上で何が起こっているのかすべてわかるよう可視化せよということだ。各IDがいつ、どこに、なぜ、どうやってアクセスしているのか把握し、各エンドポイント上で何が稼働しており、なぜ稼働しているのか、またネットワーク上のすべてのトラフィックがたどった軌跡を把握するなど、すべてを理解する。可視化は基本であり、こうしておくことで問題発生時に素早い検知が可能となる。攻撃がそれぞれ違っても、自社の環境で通常何が起こっているかを把握していれば、攻撃も簡単に把握できるのだ。

　また、脅威に対してプロアクティブに対応することも重要だ。攻撃者が企業の環境に影響を与えるまで待ってから反応していると、対応に時間がかかってしまう。攻撃者の餌食になる前に、自らハンターになるべきなのだ。例えば、脅威インテリジェンスのデータから、ネットワーク上での脅威の動きを把握し、積極的に脅威を見つけていくといった具合だ。こうすることで、脅威に対して効果的な対応ができるようになる。

　これまでは、プロアクティブな対応をするには経験や人手が必要だった。しかし今ではテクノロジにより、サイバーセキュリティ対策の経験がなくても1〜2週間トレーニングを受けさえすればマルウェアや脅威を見つけ出せるようになる。何か起こってから問題を探し出すのではなく、問題が大きくなる前に探し出す。昨今の脅威の状況を考えると、これこそ企業が取り組むべきことだ。

攻撃を受けた企業に責任はあるのか

――情報漏えいが発生すると、攻撃を受けた企業に責任があるようにとらえられ、その企業が責められる傾向にある。この状況について意見を伺いたい。企業を責める以外に、何かすべきことはあるのだろうか。

　これについてはさまざまな見解があるだろう。こうした事件で感じるのは、攻撃者の侵入は止められなかったかもしれないが、侵入されて被害を受けた範囲はもっと最小限にとどめる方法があったのではないかということだ。これらの事件で怖いのは、侵入されたという事実ではない。その侵入における被害の範囲を企業が正確に把握しきれていないことだ。事件発生後の最初の発表で「100万アカウントに影響があった」としていた企業が、数日後に「影響のあったアカウント数は500万だった」と、被害範囲が想定よりも大きかったことに後日気づくケースをよく見かける。これこそ私が懸念する点で、このようなことは今の技術を使えば防げるのではないかと考えている。

　ただ、これも企業側のみに問題があるわけではない。被害にあった企業は、きっとこれまでセキュリティベンダーが「この技術を使うべきだ」と主張する製品を使っていただけだろう。つまり、正しいメッセージを発信しなかったベンダー側にも責任がある。そこで、企業は単にベンダーの言うとおりにツールを導入するのではなく、このツールの導入は本当に正しいのか、本当に役に立つのかを考えてほしいのだ。1つの技術がすべてを解決することはない。われわれベンダー側も、市場の混乱を避けるためにも正しいメッセージを発信していくべきだろう。

　不正アクセスされた企業を責めようとは私は思わない。彼らはこれがいいソリューションだと言われたものを使っていたにすぎないのだ。しかし、これからはベンダーの言葉をうのみにすることなく、自社の環境で何が起こっているのかちゃんと理解し、テストして何かがおかしいと感じたら別の製品を試してみることも必要だ。自社にとって一番良いものを見極めるよう、心がけてほしい。