1:2015/07/28(火) 18:07:08.44
2015年3月、米EMCセキュリティ部門であるRSAの最高技術責任者に就任したZulfikar Ramzan氏。
社歴は短い同氏だが、博士号取得時にはマサチューセッツ工科大学にてRSAの「R」であるRonald L. Rivest氏の
元で研究しており、「RSAについては、社内でもほとんどの人が知らないようなことまで詳しく知っている」という。
これまで大企業からスタートアップに至るまで、さまざまな企業でサイバーセキュリティに携わってきた
Ramzan氏。オンライン詐欺やマルウェア防御、セキュリティアナリティクスなど、担当した分野も幅広い。
こうした経験は、「脅威の状況が日々変化し、迅速に変化することが求められるセキュリティ企業で生かすことができる」と同氏は考えている。
ただしRamzan氏は、変化への対応が求められるのはセキュリティ企業だけではないと話す。
RSA プレジデントのAmit Yoran氏が「RSA Conference 2015 Asia Pacific & Japan」の基調講演でも述べていたように、
一般企業のセキュリティ対策にも変化が必要だというのだ。企業が脅威に立ち向かうには、どのように変化すればよいのか。
同イベントにスピーカーとして参加していたRamzan氏が、日本からのメディアのインタビューに応じた。
――アジア太平洋・日本地域と米国を比較した場合、企業のセキュリティ対策に何か違いを感じることはあるか。
セキュリティ対策における予算の構造が違うと感じている。アジアではこれまで、約80%の予算を防御に費やしてきた。
検知に費やす予算は約15%、インシデントレスポンスには約5%しか費やしていない。だが、検知やレスポンスにももっと予算を費やすべきで、
防御、検知、レスポンスにそれぞれ予算の3分の1ずつ投資することが理想だと考えている。
この方向にシフトしてはいるが、最近の攻撃の手法を考えるともっと早くこの理想の投資構造に近づくべきだ。
攻撃者は非常に専門性が高くなってきているため、1つのテクノロジですべての脅威に対応できるわけではない。
攻撃者が侵入した場合、いかに早くそれに気づくかが重要で、対応までの時間をスピードアップさせる必要がある。
最近起こった顧客先での話なのだが、セキュリティ監査の最中、まさに不正アクセスが行われている瞬間を発見したことがあった。
そこで、セキュリティ監査から急きょインシデントレスポンスに対応を切り替え、攻撃者を調べることにした。彼らが何をしようとしているのか、
利用しているツールや作戦、方法はどんなものかを突き止め、攻撃を阻止することに成功した。エグゼクティブの
メールにZIPファイルを送りつけようとしていたのを、寸前で削除したのだ。その時、攻撃者はこのゲームに負けたことを非常に悔しく感じたらしく、
ここでは言えないようなひどく汚い言葉でわれわれのチームに文句を言ってきたよ。
このような例もあるのだから、防御だけでなく検知とレスポンスにも力を入れてほしいと思う。脅威の環境は常に変化しているのだから、5
年前のように防御だけのアプローチだけでは現在の脅威に対応できない。早く皆そのことに気づいてほしいと願っている。
――日本ではマイナンバー制度を導入しようとしているが、堅牢なファイアウォールがあるため情報漏えいは起こらないと政府が主張している。この件についてコメントを伺いたい。
いくら堅牢なファイアウォールを用意しても、頭のいい攻撃者は必ずその壁を乗り越える。それが次世代の壁であったとしてもだ
。つまり、不正アクセスが起こらないような仕組みを考えるのではなく、不正アクセスがあった時に何をすべきかを考えるべきなのだ。
重要なデータを狙う攻撃者は必ず存在し、侵入にも成功するだろう。だからこそ、侵入された時の対応を考えておくべきだ。
2:2015/07/28(火) 18:07:14.76
――攻撃の手法はそれぞれのケースで異なるため、対処方法も異なってくる。実際、企業はどのような対策を立てればよいのか。
われわれが顧客に伝えているのは、ネットワークやエンドポイント、クラウドなど、
システム上で何が起こっているのかすべてわかるよう可視化せよということだ。
各IDがいつ、どこに、なぜ、どうやってアクセスしているのか把握し、各エンドポイント上で何が稼働しており、
なぜ稼働しているのか、またネットワーク上のすべてのトラフィックがたどった軌跡を把握するなど、
すべてを理解する。可視化は基本であり、こうしておくことで問題発生時に素早い検知が可能となる。
攻撃がそれぞれ違っても、自社の環境で通常何が起こっているかを把握していれば、攻撃も簡単に把握できるのだ。
また、脅威に対してプロアクティブに対応することも重要だ。攻撃者が企業の環境に影響を与えるまで待ってから反応していると、
対応に時間がかかってしまう。攻撃者の餌食になる前に、自らハンターになるべきなのだ。例えば、脅威インテリジェンスのデータから、
ネットワーク上での脅威の動きを把握し、積極的に脅威を見つけていくといった具合だ。こうすることで、
脅威に対して効果的な対応ができるようになる。
これまでは、プロアクティブな対応をするには経験や人手が必要だった。しかし今ではテクノロジにより、
サイバーセキュリティ対策の経験がなくても1~2週間トレーニングを受けさえすればマルウェアや脅威を見つけ出せるようになる。
何か起こってから問題を探し出すのではなく、問題が大きくなる前に探し出す。昨今の脅威の状況を考えると、これこそ企業が取り組むべきことだ。
攻撃を受けた企業に責任はあるのか
――情報漏えいが発生すると、攻撃を受けた企業に責任があるようにとらえられ、その企業が責められる傾向にある。
この状況について意見を伺いたい。企業を責める以外に、何かすべきことはあるのだろうか。
これについてはさまざまな見解があるだろう。こうした事件で感じるのは、攻撃者の侵入は止められなかったかもしれないが、
侵入されて被害を受けた範囲はもっと最小限にとどめる方法があったのではないかということだ。これらの事件で怖いのは、
侵入されたという事実ではない。その侵入における被害の範囲を企業が正確に把握しきれていないことだ。
事件発生後の最初の発表で「100万アカウントに影響があった」としていた企業が、
数日後に「影響のあったアカウント数は500万だった」と、被害範囲が想定よりも大きかったことに後日気づくケースをよく見かける。
これこそ私が懸念する点で、このようなことは今の技術を使えば防げるのではないかと考えている。
ただ、これも企業側のみに問題があるわけではない。被害にあった企業は、きっとこれまでセキュリティベンダーが「この技術を使うべきだ」
と主張する製品を使っていただけだろう。つまり、正しいメッセージを発信しなかったベンダー側にも責任がある。
そこで、企業は単にベンダーの言うとおりにツールを導入するのではなく、このツールの導入は本当に正しいのか、
本当に役に立つのかを考えてほしいのだ。1つの技術がすべてを解決することはない。われわれベンダー側も、
市場の混乱を避けるためにも正しいメッセージを発信していくべきだろう。
不正アクセスされた企業を責めようとは私は思わない。彼らはこれがいいソリューションだと言われたものを使っていたにすぎないのだ
しかし、これからはベンダーの言葉をうのみにすることなく、自社の環境で何が起こっているのかちゃんと理解し、
テストして何かがおかしいと感じたら別の製品を試してみることも必要だ。自社にとって一番良いものを見極めるよう、心がけてほしい。
4:2015/07/28(火) 18:11:25.77
たしかにどんなに素晴らしいセキュリティ会社
セキュリティソフトを入れても侵入されるのが今の時代
ハッカー>セキュリティ業者
これがなくならない限り侵入されるわな
セキュリティソフトを入れてたら感染しないという神話をいい加減捨てるべき
3:2015/07/28(火) 18:10:34.17
これ中止にできないのかなあ
5:2015/07/28(火) 18:13:03.79
アメリカもつい最近入られて
データ抜かれたばかりだしな
と 言うかそんな事しなくても
内部から持ち出すのがいると思うけどな
7:2015/07/28(火) 18:14:40.84
正直実務上めんどくさくてしかたない
中止してほしい
12:2015/07/28(火) 18:28:23.48
もういっそのこと
紙で管理しろ
オフラインで
13:2015/07/28(火) 18:28:40.62
CIAやペンタゴンだってハッキングで情報漏えいするんだぜ
たかが日本の役所が漏洩を防げるわけがないね
>不正アクセスがあった時に何をすべきかを考えるべきなのだ。
日本人が最も不得意とする思考だ
89:2015/07/29(水) 08:47:32.29
>>13
同意。
原発と一緒で、日本人には資質がない。
堅固な仕組みやルールを作っても、
楽をしようとしたり儲けようとしたりで人が穴を開ける。
日本人は楽天的で怠惰。
厳格に安全を守って運営ってことができないと知るべき。
やるなら穴が開くことを前提に議論してもらわないと危なくてしょーがない。
21:2015/07/28(火) 19:03:45.34
自衛隊に管理してもらうのが一番安全なのかも?
22:2015/07/28(火) 19:19:45.04
こっちの方が圧倒的に国民の安全に影響するのに
馬鹿のミンス党と共産党は朝から晩まで安保?
ほんと野党死ねよ
オマエラいらないわ
26:2015/07/28(火) 19:30:46.75
俺も言える事がある、
個人情報が盗まれても政府は何も責任を取らない!
28:2015/07/28(火) 19:33:49.30
この前説明動画を見たが、別に一つのDBに全情報を集めるわけじゃなくて、
一人に紐付けするためのIDを振るだけみたいだぞ。
だからセキュリティ的には今と変わらない。
紐付けするIDを抜かれたら変えればいいし、IDがわかった所でそこから先に
何かできるわけじゃない。
30:2015/07/28(火) 19:36:33.18
そして政府は失態の責任を国民の財布に求める
せめて、物理的に首を飛ばす責任者くらい決めてから
こういう重大なことはやれ、能無し施政者に腐れ公務員が
42:2015/07/28(火) 20:20:53.12
>マイナンバーは必ず狙われる、そして攻撃者は侵入に成功する
だけど、これ言い出したら、「あらゆる通信、あらゆるネットワーク、あらゆるデータベースは安全ではない」となるよな
ドイツ首相の携帯を外国機関(米国だが)が傍受していたくらいなんだから。
交通機関を使う時、事故のリスクはゼロにできないのと一緒で、リスクゼロなんて不可能じゃん、もともと。
利便性等のメリットがリスクを上回るから、使用するんでしょ。
43:2015/07/28(火) 20:27:04.96
ログあればなんとかなるだろ
48:2015/07/28(火) 20:48:08.54
マイナンバーも、ワンタイムパスワード同様、使うときにだけ発行してくれればいいよ
51:2015/07/28(火) 20:53:12.20
>>48
だって勤め先に教えなきゃいけないんだもの、使う時だけなんて概念ないよ。
49:2015/07/28(火) 20:48:20.53
内部犯行もあるよ。
かっての「消えた年金」問題は半分も解決していないのに?
ふるさと納税でタブレット貰ったwwwwww
52:2015/07/28(火) 21:21:35.06
クラックされててもお役所はそれを認めない
で、被害が広がるけど誰も責任取らないで終了
何が起こるのかもう見えてる
57:2015/07/28(火) 22:23:55.69
中国のハッカー部隊にすら勝てない日本が防衛できるわけねえw
どうするんだよw
マイナちゃんやられ放題だぞw
66:2015/07/29(水) 00:11:00.99
120パーセントハッキングされると分かってて施行される惨めさったらないな
ほんとくだらんわ
70:2015/07/29(水) 07:28:15.73
年金機構みたいにインターネットに接続した端末にデータを持ってきて作業されたら狙われるかもしれないが
86:2015/07/29(水) 08:39:42.58
>>70
バカだなぁ
中の人間がやらかしてくれるんだよ
今回の年金機構の件をもう忘れたのか??
オメデタすぎるよw
85:2015/07/29(水) 08:37:44.90
これ運用前にさ
1年間データ入れない状態で
クラックできたら10億円上げる大会開いて
セキュリティ自慢してから
運用したhぷがいいだろ
96:2015/07/29(水) 09:03:12.55
>>85
どんな強固なセキュリティでも破られるのは間違いないので必要ないだろ。
88:2015/07/29(水) 08:45:16.79
全国民のプライバシーはゼロになる
91:2015/07/29(水) 08:49:54.42
>>88
意図的に漏らすと思う
で、匿名のビッグデータと結びつけて全部の行動データが完成する
94:2015/07/29(水) 08:51:59.57
韓国とかアメリカは大昔に導入してるだろ
95:2015/07/29(水) 08:54:25.98
>>94
韓国もアメリカも番号と名前データ漏れまくってるよ
だから韓国国籍無いとプレイできないゲーム
とかを漏れてるid使って他の国の人がプレイしてる
日本もそれがふつうになる
103:2015/07/29(水) 09:43:09.36
あれ、いきなり全国民じゃなくて、議員さん、お役人さん、そのOBさんで
モルモットやってくれたら良いと思うぞ
112:2015/07/29(水) 11:36:57.35
安全な未来が見えない
引用元:http://anago.2ch.sc/test/read.cgi/bizplus/1438074428