ただしRamzan氏は、変化への対応が求められるのはセキュリティ企業だけではないと話す。RSA プレジデントのAmit Yoran氏が「RSA Conference 2015 Asia Pacific & Japan」の基調講演でも述べていたように、一般企業のセキュリティ対策にも変化が必要だというのだ。企業が脅威に立ち向かうには、どのように変化すればよいのか。同イベントにスピーカーとして参加していたRamzan氏が、日本からのメディアのインタビューに応じた。

これまで大企業からスタートアップに至るまで、さまざまな企業でサイバーセキュリティに携わってきたRamzan氏。オンライン詐欺やマルウェア防御、セキュリティアナリティクスなど、担当した分野も幅広い。こうした経験は、「脅威の状況が日々変化し、迅速に変化することが求められるセキュリティ企業で生かすことができる」と同氏は考えている。

2015年3月、米EMCセキュリティ部門であるRSAの最高技術責任者に就任したZulfikar Ramzan氏。社歴は短い同氏だが、博士号取得時にはマサチューセッツ工科大学にてRSAの「R」であるRonald L. Rivest氏の元で研究しており、「RSAについては、社内でもほとんどの人が知らないようなことまで詳しく知っている」という。

検知とインシデントレスポンスにも投資せよ

――アジア太平洋・日本地域と米国を比較した場合、企業のセキュリティ対策に何か違いを感じることはあるか。

セキュリティ対策における予算の構造が違うと感じている。アジアではこれまで、約80％の予算を防御に費やしてきた。検知に費やす予算は約15％、インシデントレスポンスには約5％しか費やしていない。だが、検知やレスポンスにももっと予算を費やすべきで、防御、検知、レスポンスにそれぞれ予算の3分の1ずつ投資することが理想だと考えている。この方向にシフトしてはいるが、最近の攻撃の手法を考えるともっと早くこの理想の投資構造に近づくべきだ。

攻撃者は非常に専門性が高くなってきているため、1つのテクノロジですべての脅威に対応できるわけではない。攻撃者が侵入した場合、いかに早くそれに気づくかが重要で、対応までの時間をスピードアップさせる必要がある。

最近起こった顧客先での話なのだが、セキュリティ監査の最中、まさに不正アクセスが行われている瞬間を発見したことがあった。そこで、セキュリティ監査から急きょインシデントレスポンスに対応を切り替え、攻撃者を調べることにした。彼らが何をしようとしているのか、利用しているツールや作戦、方法はどんなものかを突き止め、攻撃を阻止することに成功した。エグゼクティブのメールにZIPファイルを送りつけようとしていたのを、寸前で削除したのだ。その時、攻撃者はこのゲームに負けたことを非常に悔しく感じたらしく、ここでは言えないようなひどく汚い言葉でわれわれのチームに文句を言ってきたよ。

このような例もあるのだから、防御だけでなく検知とレスポンスにも力を入れてほしいと思う。脅威の環境は常に変化しているのだから、5年前のように防御だけのアプローチだけでは現在の脅威に対応できない。早く皆そのことに気づいてほしいと願っている。

――日本ではマイナンバー制度を導入しようとしているが、堅牢なファイアウォールがあるため情報漏えいは起こらないと政府が主張している。この件についてコメントを伺いたい。

いくら堅牢なファイアウォールを用意しても、頭のいい攻撃者は必ずその壁を乗り越える。それが次世代の壁であったとしてもだ。つまり、不正アクセスが起こらないような仕組みを考えるのではなく、不正アクセスがあった時に何をすべきかを考えるべきなのだ。重要なデータを狙う攻撃者は必ず存在し、侵入にも成功するだろう。だからこそ、侵入された時の対応を考えておくべきだ。

――攻撃の手法はそれぞれのケースで異なるため、対処方法も異なってくる。実際、企業はどのような対策を立てればよいのか。

われわれが顧客に伝えているのは、ネットワークやエンドポイント、クラウドなど、システム上で何が起こっているのかすべてわかるよう可視化せよということだ。各IDがいつ、どこに、なぜ、どうやってアクセスしているのか把握し、各エンドポイント上で何が稼働しており、なぜ稼働しているのか、またネットワーク上のすべてのトラフィックがたどった軌跡を把握するなど、すべてを理解する。可視化は基本であり、こうしておくことで問題発生時に素早い検知が可能となる。攻撃がそれぞれ違っても、自社の環境で通常何が起こっているかを把握していれば、攻撃も簡単に把握できるのだ。

また、脅威に対してプロアクティブに対応することも重要だ。攻撃者が企業の環境に影響を与えるまで待ってから反応していると、対応に時間がかかってしまう。攻撃者の餌食になる前に、自らハンターになるべきなのだ。例えば、脅威インテリジェンスのデータから、ネットワーク上での脅威の動きを把握し、積極的に脅威を見つけていくといった具合だ。こうすることで、脅威に対して効果的な対応ができるようになる。

これまでは、プロアクティブな対応をするには経験や人手が必要だった。しかし今ではテクノロジにより、サイバーセキュリティ対策の経験がなくても1～2週間トレーニングを受けさえすればマルウェアや脅威を見つけ出せるようになる。何か起こってから問題を探し出すのではなく、問題が大きくなる前に探し出す。昨今の脅威の状況を考えると、これこそ企業が取り組むべきことだ。