高度なサイバー脅威への警鐘の役割を担う(RSA) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.20(月)

高度なサイバー脅威への警鐘の役割を担う(RSA)

特集 特集

インテリジェンス主導型のセキュリティソリューションを提供する RSA は、Microsoft、Qualys と共に、Black Hat USA 2014 の三大メインスポンサーとなっている。

そのためもあってか、RSA のブースは会場の入り口から近い場所にあり、そこに設置された大きなスクリーンも来場者の目に留まりやすい。

しかし、スクリーンで流れていた映像や、そこで行われていたプレゼンテーションは、自社製品のプロモーションというよりも、むしろ「なぜ、ユーザーはサイバー脅威の進化に追いつかなければならないのか」「いかにそれが必要であるのか」を伝えることを重視した内容であるように感じられた。

この RSA のブースでは、RSA Security Division Field and Channel Marketing Senior Director の Cathy Cushman 氏からお話を伺うことができた。


●Cathy Cushman 氏インタビュー

──今年の Black Hat で、特に注力していることは何ですか

「BlackHat のスポンサーでもある私たちは、今回、4 つの主要分野にフォーカスしています。1 つめは、高度な GRC(Governance, Risk, and Compliance Services)。2 つめは ID アクセス管理(Identity access management)。3 つめは RSA ECAT です。こちらはメモリのリアルタイム分析ツールであり、フォレンジックとモニタリングにも役立つものです。そして最後に、サイバー脅威です」

──御社の展示を拝見したところ、サイバー攻撃の脅威に関して、世の中に警鐘を鳴らすような意図を強く感じたのですが

「私たちにとって Black Hat は、サイバー脅威と、それに対する防御方法をクライアントに理解してもらうための場所です。そのうえで、私たちは、皆さんを助けるためのさまざまなツールを用意しています」

──これまでの年と比較して、今年の Black Hat の来場者に対し、どのような感想を持たれましたか

「今年の Black Hat には、『レベルの高い方々』が集まっているように感じています。もともと Black Hat には、セキュリティに関する意識の高い方々が集まっているのですが、今年は特に技術的なレベルの高い人々や、シニアマネジメント層の人々が多いように思います。

今年は、様々な立場の『できる人々』の参加が目立っていると感じています。おかげで私たちは、広い範囲での、価値ある貴重な会話をいくつも持つことができました」

●RSA Security Analytics

──最新の製品、RSA Security Analytics について教えていただけますか

「はい。この製品は、セキュリティの分析のための商品です。RSA は 3 年前に、パケットキャプチャツールの製品を持っていた NetWitness を買収しました。この NetWitness の技術の優れた部分と、かねてから私たちが持っていた『enVision』を合わせることによって、RSA Security Analytics はより統合的なものとなりました」

──具体的には、どのような変化が生まれたのでしょうか

「たとえて言うなら、これまでの商品は、通話について『誰が何月何日の何時に、どこに連絡した』と記録するような形式のものでした。しかし、パケットキャプチャを行えば、行われた通信の内容を完全に復元することさえも可能になるのです。

このツールを使うことで、大量のネットワークやログなどのデータをキャプチャし、通信内容や活動の詳細までを把握できます。また、このツールは FTP や SMTP などの様々なプロトコルにも対応しています。

実際の分析を見てみましょう。まずはデータをキャプチャします。そこに私たちは、ジオタグや脅威情報などのメタデータを付加します。たとえば、このトラフィックデータを分析してみましょう……(ブースに設置された PC でデモンストレーションを行いながら)……このように、とても迅速にログを収集し、分析することができます」

──たいへん動作が早いですが、これはリアルデータを使って実際に動かしているところですよね?

「ええ。もちろん、速度は調査対象のデータ量によって変化しますが。多くの場合、直近の数日間を対象に解析することになると思います。しかし、過去のデータを数ヶ月に渡って解析しようとする場合は、さきほど示したよりも時間がかかりますね」

──さきほど「FTP や SMTP に対応」とおっしゃいましたが、具体的にはどのような操作で、何が分かりますか。

「あなたがサイバーセキュリティの調査をしているとしましょう……(実際に操作しながら)……FTP のログを見て、このようにワンクリックするだけで、誰がどんなデータをダウンロードしたのか、その詳細情報が分かります。

SMTP のデータを見て、どんな活動が起きているのか、どのような通信を行っているのかも直ちに知ることができます。またキャプチャデータから、メールの内容や添付ファイルを再構成することも可能です」

●およそ 10 分で通信内容を特定

「こんな例があります。私は、マサチューセッツで国家的なセキュリティインシデントレスポンスに 2 週間ほど関わりました。ある日の 12 時 30 分に、Threat Intelligence からアラートが出ました。それはネットワーク内部から『某国』への怪しい通信が行われているというアラートでした。それから 10 分後には、その通信の内容を特定することができました」

──どのような通信だったのか、差支えのない範囲で教えていただけますか?

「ネットワークの内部から、昼休みの時間を使って、地元のピザショップのウェブにアクセスした者がいました。その WEB は改ざんされ、危険なサイトへと転送されていました。その転送先が危険だということは、脅威情報から判断できました。たった 10 分間で、これらのことを全て把握できたのです」

──心強いツールだと思います。今日はありがとうございました

「こちらこそ」
《江添 佳代子》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×