高度なサイバー脅威への警鐘の役割を担う（RSA）

インテリジェンス主導型のセキュリティソリューションを提供する RSA は、Microsoft、Qualys と共に、Black Hat USA 2014 の三大メインスポンサーとなっている。

特集特集

2014年8月27日（水） 14時00分

インテリジェンス主導型のセキュリティソリューションを提供する RSA は、Microsoft、Qualys と共に、Black Hat USA 2014 の三大メインスポンサーとなっている。

そのためもあってか、RSA のブースは会場の入り口から近い場所にあり、そこに設置された大きなスクリーンも来場者の目に留まりやすい。

しかし、スクリーンで流れていた映像や、そこで行われていたプレゼンテーションは、自社製品のプロモーションというよりも、むしろ「なぜ、ユーザーはサイバー脅威の進化に追いつかなければならないのか」「いかにそれが必要であるのか」を伝えることを重視した内容であるように感じられた。

この RSA のブースでは、RSA Security Division Field and Channel Marketing Senior Director の Cathy Cushman 氏からお話を伺うことができた。

●Cathy Cushman 氏インタビュー

──今年の Black Hat で、特に注力していることは何ですか

「BlackHat のスポンサーでもある私たちは、今回、4 つの主要分野にフォーカスしています。1 つめは、高度な GRC（Governance, Risk, and Compliance Services）。2 つめは ID アクセス管理（Identity access management）。3 つめは RSA ECAT です。こちらはメモリのリアルタイム分析ツールであり、フォレンジックとモニタリングにも役立つものです。そして最後に、サイバー脅威です」

──御社の展示を拝見したところ、サイバー攻撃の脅威に関して、世の中に警鐘を鳴らすような意図を強く感じたのですが

「私たちにとって Black Hat は、サイバー脅威と、それに対する防御方法をクライアントに理解してもらうための場所です。そのうえで、私たちは、皆さんを助けるためのさまざまなツールを用意しています」

──これまでの年と比較して、今年の Black Hat の来場者に対し、どのような感想を持たれましたか

「今年の Black Hat には、『レベルの高い方々』が集まっているように感じています。もともと Black Hat には、セキュリティに関する意識の高い方々が集まっているのですが、今年は特に技術的なレベルの高い人々や、シニアマネジメント層の人々が多いように思います。

今年は、様々な立場の『できる人々』の参加が目立っていると感じています。おかげで私たちは、広い範囲での、価値ある貴重な会話をいくつも持つことができました」

●RSA Security Analytics

──最新の製品、RSA Security Analytics について教えていただけますか

「はい。この製品は、セキュリティの分析のための商品です。RSA は 3 年前に、パケットキャプチャツールの製品を持っていた NetWitness を買収しました。この NetWitness の技術の優れた部分と、かねてから私たちが持っていた『enVision』を合わせることによって、RSA Security Analytics はより統合的なものとなりました」

──具体的には、どのような変化が生まれたのでしょうか

「たとえて言うなら、これまでの商品は、通話について『誰が何月何日の何時に、どこに連絡した』と記録するような形式のものでした。しかし、パケットキャプチャを行えば、行われた通信の内容を完全に復元することさえも可能になるのです。

このツールを使うことで、大量のネットワークやログなどのデータをキャプチャし、通信内容や活動の詳細までを把握できます。また、このツールは FTP や SMTP などの様々なプロトコルにも対応しています。

実際の分析を見てみましょう。まずはデータをキャプチャします。そこに私たちは、ジオタグや脅威情報などのメタデータを付加します。たとえば、このトラフィックデータを分析してみましょう……（ブースに設置された PC でデモンストレーションを行いながら）……このように、とても迅速にログを収集し、分析することができます」

──たいへん動作が早いですが、これはリアルデータを使って実際に動かしているところですよね？

「ええ。もちろん、速度は調査対象のデータ量によって変化しますが。多くの場合、直近の数日間を対象に解析することになると思います。しかし、過去のデータを数ヶ月に渡って解析しようとする場合は、さきほど示したよりも時間がかかりますね」

──さきほど「FTP や SMTP に対応」とおっしゃいましたが、具体的にはどのような操作で、何が分かりますか。

「あなたがサイバーセキュリティの調査をしているとしましょう……（実際に操作しながら）……FTP のログを見て、このようにワンクリックするだけで、誰がどんなデータをダウンロードしたのか、その詳細情報が分かります。

SMTP のデータを見て、どんな活動が起きているのか、どのような通信を行っているのかも直ちに知ることができます。またキャプチャデータから、メールの内容や添付ファイルを再構成することも可能です」

●およそ 10 分で通信内容を特定

「こんな例があります。私は、マサチューセッツで国家的なセキュリティインシデントレスポンスに 2 週間ほど関わりました。ある日の 12 時 30 分に、Threat Intelligence からアラートが出ました。それはネットワーク内部から『某国』への怪しい通信が行われているというアラートでした。それから 10 分後には、その通信の内容を特定することができました」

──どのような通信だったのか、差支えのない範囲で教えていただけますか？

「ネットワークの内部から、昼休みの時間を使って、地元のピザショップのウェブにアクセスした者がいました。その WEB は改ざんされ、危険なサイトへと転送されていました。その転送先が危険だということは、脅威情報から判断できました。たった 10 分間で、これらのことを全て把握できたのです」

──心強いツールだと思います。今日はありがとうございました

「こちらこそ」