複雑化した脅威に対応するための必須5要素とは?

ファイア・アイは7月19日、ウェスティンホテル東京でセキュリティカンファレンス「Cyber Defense Live Tokyo 2017」を開催した。本稿では、米FireEyeのグローバル・サービス&インテリジェンス担当エグゼクティブ・バイス・プレジデントJohn Watters(ジョン・ウォッターズ)氏が行った基調講演「世界、日本を取り巻く最新脅威とインテリジェンス主導のセキュリティ」の内容をレポートする。

Watters氏は、セキュリティインテリジェンス企業iDEFENSEの会長兼CEOを務めたあと、2006年にiSIGHT Partnersを創業。FireEyeが2016年にiSIGHTを買収したのにともない、2017年1月から現職となった。現在は、セキュリティサービスのMandiant、脅威インテリジェンスのFireEye iSIGHTインテリジェンス、クラウドサービスのFireEye as a Serviceの各業務を一本化した統合グローバル組織を統括する。言うなれば、FireEyeのインテリジェンス部門のトップだ。

米FireEyeのグローバル・サービス&インテリジェンス担当エグゼクティブ・バイス・プレジデントのJohn Watters氏

Watters氏はまず、最近の脅威の動向について、攻撃の目的やプロセスが複雑化してきたことを挙げた。たとえば、WannaCryのように国家組織から盗まれたコードが改変された攻撃に使われたり、ランサムウェアのような金銭目的の攻撃ツールが改変されデータの破壊のみに使ったりといった事例だ。

「何が脅威になり、どのような攻撃が行われるかの予測はますます困難になってきている。脅威をめぐる環境は常に変化し続けている。われわれの調査では、1社あたり平均して62社のセキュリティ製品を採用していた。そのくらい複雑になってきているのだ」とWatters氏は語る。

Watters氏がiSIGHT Partnersを創業後、特に注視してきたのが中国のサイバースパイグループの動向だ。狙われているのは日本政府や日本企業で、攻撃は増加し続けているという。対象も航空宇宙/防衛関連企業から、知財や機密性の高い情報を持つハイテク、金融、エレクトロニクス、メディアなどまで多岐にわたっている。

こうした複雑化し、常に変化する脅威に対応するためには何が必要なのか。Watters氏が取り組んでいるのは、どのような攻撃が行われたとしても、それに適切に対応していく仕組みの構築と提供だ。

「ビジネスも軍事もスポーツもそうだが、あらゆる意思決定の土台にはインテリジェンスがある。情報を分析して現状を把握し、戦略を立てて実行に移す。どんなによい戦略、どんなによいシステムを持っていても、インテリジェンスがなければうまく機能しない。インテリジェンスをもとに変化するセキュリティ脅威に対抗していく環境を整えることが重要だ」(同氏)

FireEyeでは、こうした防御のあり方を「インテリジェンス主導のセキュリティ」と呼び、それを実現するためのアプローチやソリューションを整備している。

インテリジェンス主導型セキュリティを構成する主な要素は、現状を分析するための「サイバー脅威のプロファイル」、リスクを定量化し対策を導くための「対策とリスクのプロファイル」、セキュリティ投資を適切に行うための「リスク曲線」、対策を実行するための「セキュリティ実装」、実際の対策である「プログラム」などがあるという。

「インテリジェンス主導型セキュリティを構成するには5要素が必要」とWatters氏は話す

サイバー脅威のプロファイルでは、脅威のリスト化を行う。「どんな脅威にどう対策するかは、企業ごとに異なる。企業ごとにどの脅威が最もインパクトが大きいのか、それは経済的な損失なのか、ブランドの毀損なのかといったことを考慮し、リスクのトップ10を出す。このリストをもとにまず経営トップが意思決定し、それを現場の対策へと落とし込んでいくことがポイントだ」(同氏)

セキュリティ対策を設計する際には、「対策とリスクのプロファイル」から、「リスク曲線」を精査し、それを「セキュリティ実装」につなげたうえで、日々改善していく作業が重要になる。