「今後のセキュリティはビッグデータ分析が重要。ログデータだけでなく多種多様なデータ同士の相関関係をマイニングすれば、いつもと違う挙動を検知でき、標的型攻撃など任意の攻撃に対処できる」---。米EMCのエグゼクティブ・バイスプレジデントでRSA事業本部のエグゼクティブ・チェアマンであるアート・コビエロ(Arthur W.Coviello)氏(写真)は2013年3月19日、都内で開かれた記者会見で、セキュリティ動向と同社の製品ロードマップを説明した。
EMCジャパンRSA事業本部が国内で2013年第二四半期に発表する新製品が、「RSA Security Analytics」である。詳細は不明だが、ネットワークパケットや各種データとログデータを融合させた巨大なデータを分析してデータ同士の相関関係などを見つけ、平常時とは異なる挙動をリアルタイムに検知できるようにする。ビッグデータ分析の手段として、BI/DWHやHadoopを利用する。既存製品の「RSA NetWitness」(ネットワークパケットを収集/解析して攻撃を検知)や「RSA enVision」(ログ分析)の経験に基付いて開発したという。
会見でコビエロ氏は、2001年から2012年までのネットワークとセキュリティの歴史を振り返り、犯罪者の攻撃力と企業の防御力とのギャップが開いてしまっていること、企業のセキュリティモデルを境界での予防から検知/対処へと変える必要があること、セキュリティモデルの移行には四つの障害があること、製品技術の上ではビッグデータ分析による解決策を提供できること、などを説明した。
会見の主な内容は、以下の通り。
犯罪者と企業の賢さのギャップが広がる
2001年から2012年にかけてインターネット環境が進化するのに合わせて、セキュリティ攻撃の対象領域も広がった。保存されているデジタルコンテンツの量は、2001年の1エクサバイトから、2012年には1~2ゼタバイトへと拡大。流れるデータの量は、10万ビット/秒から1億ビット/秒へと拡大した。
インターネットユーザーは5億人から24億人に増え、アプリケーションはWebやモバイルが主流となった。ここ3年では、ビッグデータやクラウドなどが拡大し、今後は端末だけではなくモノのインターネット接続がインパクトをもたらす。2013年の1年間だけでも10億個の物理デバイスが新規にインターネットにつながる。
こうした変化は企業の生産性を高めるが、一方でセキュリティ犯罪者にもメリットをもたらす。2001年時点ではDoS攻撃スクリプトなどで企業の仕事を妨害することがメインだったが、2005年前後には、高度なフィッシング攻撃などが登場。現在では、APT(執拗な攻撃)など複雑なステップを介する攻撃が登場している。
このように、現在では、攻撃対象の領域が拡大し、攻撃者は賢さを増している。ここ4~5年の間に、犯罪者と企業の能力のギャップが広がってしまった。
