2017.03.21

IBM Watson 活用で描く、ビジネスを守る一歩先行くサイバー・セキュリティー対策とは――IBM 縣 和平インタビュー

国境を越えるサイバーテロから自社のビジネスを守るためにできること――IBM Security縣 和平インタビュー

サイバー攻撃は国境を越え、テロリズムの一環として認識されつつある。圧倒的に攻撃側が有利とされるサイバー攻撃において、防御側が必要な準備を整え、攻撃者の先を行く対策を行っていくためには「脅威インテリジェンス(Threat Intelligence)」の活用が重要視されている。

コグニティブ・テクノロジーにより、脅威インテリジェンスの提供を自動化、企業のセキュリティー運用を高度化させるソリューションが、2017年2月に発表されたIBMの「Cognitive SOC(コグニティブ・セキュリティー・オペレーション・センター)」だ。日本IBMの縣 和平に、今回のCognitive SOCのコンセプトや利用事例について聞いた。

IBM懸和平
縣 和平(あがた かずひら)
日本アイ・ビー・エム株式会社 アソシエイト・パートナー Evangelist of “Watson for Cyber Security”

大手通信キャリアのセキュリティーSEを経て、新日本監査法人(EY Japan)に入所。約10年に渡り、事業会社・金融機関に対し、GRC(ガバナンス・リスク・コンプライアンス)、内部統制、規制対応、プロジェクト・マネージメント等、様々なアドバイザリー/コンサルティング業務、IT監査をグローバル規模で提供してきた経験を有する。現在、日本IBMにてセキュリティー・インテリジェンス、コグニティブ・ソリューションの導入、コンサルティング・サービス提供に携わっている。

サイバー・セキュリティー対策には「インテリジェンス」「スピード」「正確性」の3つのギャップがある

──まず、サイバー・セキュリティーに関する最近の動向についてお聞かせください。

2017年2月に米国サンフランシスコで開催された「RSA Conference 2017」に出席しました。情報セキュリティーに関する世界的イベントですが、世界的な動向という視点では、サイバー攻撃はより国家単位で、国境を越えた攻撃の様相を呈している点が印象的でした。

サイバー・セキュリティー対策には「インテリジェンス」「スピード」「正確性」の3つのギャップがある

特にアメリカでは、サイバー攻撃は、物理空間における紛争やテロリズムと同じ文脈で捉えられています。サイバー空間にはジュネーヴ条約のような戦時国際法の枠組みも適用されませんし、誰でも、容易に攻撃に着手できる状況もあります。文字通り「何でもあり」の状況になっているのが現状です。

──民間企業について、印象に残ったことはありますか?

民間セクターでは、「自社だけが守られればよい」という考え方は通用しなくなっています。いつ、どこでテロリズムの標的になるかわからないからです。そこで、標的型攻撃や、ランサムウェアの脅威の拡大といった課題に加え、サイバーテロに対して備えていくために、企業の枠組みを超え、協調しながら守っていくことが重要になってきます。

日本企業も、日本のことだけを考えてビジネス、リスクを管理する時代は終わりました。その意味で、米国の潮流は注目すべき価値があると思います。日本では、総務省が推進する「テレコムアイザック官民協議会」などのサイバー攻撃に関する情報共有の枠組みがありますが、日本でも、今後、脅威情報やサイバー攻撃に関する知見である「脅威インテリジェンス」をサイバー・セキュリティー対策に取り入れる企業が増えていくでしょう。

──脅威インテリジェンスについてもう少し詳しく教えてください。

脅威インテリジェンスは、サイバー・セキュリティーに関する様々な情報の集合体から、新たな脅威に関する知見を導き、セキュリティー対策に活用していく取り組みです。営利、非営利があり、非営利では上記の官民連携の取り組みがあります。営利では、米国を中心に、様々なベンダーが脅威インテリジェンス・サービスを提供しています。

マルウェアをはじめとする不正プログラムの情報や、脆弱性情報、場合によってはアンダー・グラウンドのコミュニティーなども情報源になります。IBMでは、IBM X-Forceが膨大な量のイベントやマルウェアのサンプルを調査・研究しており、そうした知見を含む、様々なオープン・ソース・セキュリティー・インテリジェンスを提供するサービスがあります。

──セキュリティー・インシデントが増加していく中で、対策コストや、インシデント対応時間に関してお気づきの点はありますか?

年々、セキュリティー・インシデントの件数が増えているのは間違いありません。米国におけるIBMの顧客企業の事例では、調査分析対象となるインシデントは1日あたり平均15件から20件とのこと。具体的には不審なC&C(コマンド&コントロール)サーバーとの通信、怪しいメール添付ファイルの開封、外部からのスキャン通信が挙げられます。

さらに、それぞれのインシデントに関して、1件あたり約50分が調査や分析に費やされていると伺いました。事象の把握、IPアドレス等の分析、既知の攻撃パ
ターンとの照合、自社影響範囲の特定など、現時点ではセキュリティー・アナリストの作業に依存している部分が大きいです。

昨今のセキュリティー・アナリストが向き合う情報は膨大で、情報過多に陥っています。加えて、セキュリティー技術者の育成には時間がかかり、人材確保に苦しんでいる現状もあります。つまり、有能で、勤勉な少数のセキュリティー・アナリストの頑張りに依存した対策には限界があるのです。これは日本だけの話ではなく、米国でも指摘されていることです。

経済産業省が2020年にIT人材が約37万人不足するという試算を発表しましたが、中でも情報セキュリティー人材は約19.3万人不足するという試算結果になっています。まさに IT 人材の中でも一番足りない分野であるのは間違いありません。

──日本でも、社内CSIRT(シーサート:Computer Security Incident Response Team)立ち上げに関する関心が高まっており、インシデント対応の窓口の重要性は認識されていますが、課題と実行の間のギャップについてはどう認識していますか。

ギャップには大きく3つの側面があります。1つは「インテリジェンスのギャップ」で、これは、アナリストの判断に必要なナレッジ、情報がたくさんありすぎて、有効に活用できていないという問題です。2つ目が「スピードのギャップ」。インシデントの調査にかける時間の短縮化の問題です。そして、3つ目が「正確性のギャップ」。判断に対する根拠や具体的なエビデンスに対する問題です。

これらに加え、セキュリティー業界の最先端情報の多くは英語で発信されています。国内企業のセキュリティー・アナリストは「言語の壁」も超えていく必要があります。グローバルな企業活動の中で、これだけのギャップを超えて、インシデント対応を担うことのできる人材を確保し、組織を整備していくことは簡単なことではありません。

コグニティブ・テクノロジーの活用により、インシデント1件あたりの調査・分析時間が5分の1に短縮

──そこで重要になってくるのが、コグニティブ・テクノロジーをサイバー・セキュリティーに活用する取り組みですが、IBMのコグニティブ・セキュリティーについて詳しくお聞かせください。

IBMはこれまで、東京SOCをはじめとするグローバルに拠点をもつSOCが、マネージド型のセキュリティー運用監視サービス(MSS)を提供してきました。これは、お客様のネットワークを、24時間、365日体制で監視し、インシデントかどうかを判定し、お客様への通知から、場合によってはインシデント対応までをサポートします。

こうしたサービスに加え、コグニティブ・テクノロジーによりSOCを高度化させるのが、この2月にIBMが発表した「Cognitive SOC」です。これは、SOCのアナリストを支援するサービスで、情報収集や整理、既知情報との照合という人間が実施すると煩雑になる分野をコグニティブ・テクノロジーが自動化し、アナリストが、情報を見て判断、対処することに集中できるように、その任務を支援するものです。

──具体的にはどういう仕組みなのですか。

Cognitive SOCの中核となるテクノロジーがWatson for Cyber Securityです。これは、ブログやホワイトペーパー、各種インテリジェンスまで、セキュリティーに関する非構造化データを含む外部情報を継続的に収集し、自然言語処理を使って分析、得られた知見を自動的にコンピューターで利用可能とするものです。前述した脅威インテリジェンスの一種と考えてもらえれば結構です。

Cognitive SOC MSS

「Watson for Cyber Security」とセキュリティー・ソリューションの連携により、アナリストの任務を支援します。その1つがIBMのセキュリティー・ログ分析プラットフォーム「QRadar」との連携で、QRadarが何らかの攻撃の予兆をインシデントとして検知したものに対し、IBM Watson (以下、Watson) はインサイトを与え、アナリストの判断をサポートします。

アナリストの既存作業のうち、機器が何かを検知した後の、周辺情報の収集から第1次対応までを自動化することができます。ベータ版の実証実験では、それまで1件あたり約50分かかっていた分析が、約10分で終わったという結果も出ています。これらの作業は「非定位系で反復可能ではない」という点で、これまでのコンピューティングでは対応が難しかった分野といえます。

──Watsonの分析対象はどのあたりに及ぶのでしょうか。

Watsonの有効活用には「正しい教師データ」が必要で、ある程度、どういうソースを見るかという「目利き」がカギを握ってきます。

Watson for Cyber Securityは、2016年7月の発表から、米国のラボで、IBMのノウハウをもとに、どういう情報を選別し、どういう情報を読ませれば関係性や意味を持たせることができるかを試行錯誤してきました。その結果、75,000超のソフトウェアの脆弱性情報、毎年1万件以上発行されるセキュリティー研究論文、毎月60,000以上更新されるセキュリティー関連ブログなど、人間のために作られた非構造化データを素早く解釈し、様々な機器等から収集した構造化データと統合する能力を獲得しました。

2016年10月からは全世界の40社にベータ版の実証実験に参加していただき、うち日本からも1社参加していただきました。この結果をもとに、商用化のメドが立ち、2017年2月よりお客様企業のセキュリティー対策にご活用いただくことが可能になりました。

──導入先としては、自社にSOCなどが組織化され、脅威インテリジェンスを活用しようとする企業ということになりますか?

米国では、金融や、電力などの社会インフラ企業、あるいは、規模は大きくなくても知的財産管理に関心の高い大学などの研究機関などが関心を持っています。

これからのセキュリティー対策の考え方として、何かインシデントが起きてから慌てるのではなく、ある程度、先手を打つためのアプローチが必要です。

IBM懸和平インタビュー

QRadarが何らかの攻撃の予兆を検知したことをトリガーに、その後のプロセスが動き出すわけですが、その際に、必要なインテリジェンスはすでに集まっていて、さらに、アナリストは大量の英文ドキュメントを読破する必要がありません。こうした点も、セキュリティー人材の有効活用、働き方改革につながっていく独自価値だと考えています。

IBMは、AIを「Artificial Intelligence:人工知能」ではなく、「Augmented Intelligence:拡張知能」と位置づけています。つまり、人間ができることを拡張することが目的で、そうした考え方に沿ったロードマップを描いていくことが、国内での普及には重要だと考えています。

テクノロジーの活用により“一歩先行く”サイバー・セキュリティー対策を

──企業はCognitive SOCの導入をどのように進めていけばよいですか?

すでに述べた通り、サイバー・セキュリティーには国境がありません。IBMには、米国を含めた同業他社の先進事例や動向を踏まえたアセスメント・サービスもあります。そうしたところから投資の優先順位を決め、自社のビジネスにとって重要な情報を守るための投資対効果の高いサイバー・セキュリティーのあり方を、まずは議論させていただければと思います。

──では、人材や組織の整備という観点ではどんなことがポイントになりますか?

組織面では、サイバー脅威に対して能動的に対応可能とする方向性が見られます。サイバー・セキュリティーに関する最新動向や、自社のセキュリティー・インシデントに関する情報、自社の情報資源・機器情報などがグループ横断的に集約され、全体像が把握できるような組織が整備されることが望ましいです。

また人材面ですが、テクノロジーによる自動化や支援を前提とすれば、確保が難しいセキュリティー人材のスキルの育成というよりも、調整やコミュニケーション、あるいは語学力、経営層とのパイプ役としてのビジネス・スキルが組織内部に求められます。グローバルな企業であればなおさらのことです。

外部知見の分析や形式知化にコグニティブ・テクノロジーを活用しているのはIBM独自の強みです。IBMが得意な分野はお任せいただき、自社のセキュリティー体制の中で機能をすみ分けていくことができれば、「一歩先」のセキュリティー対策が実現できると考えます。

──最後に、少し未来の展望についてコメントをいただけますか。

日本では2020年のオリンピック開催に向けて、サイバー・リスクが増えていくのは間違いありません。

一方で、少子化や労働力人口の減少など、社会構造の変化を考えると、今後もセキュリティー人材の確保は難しい経営課題の一つです。その中で、なるべく人間は人間にしかできない知的活動に注力し、高密度で高付加価値な仕事をしていくことが求められます。

サイバー攻撃においては、先手を打つ攻撃側のほうが圧倒的に有利です。こうした状況で、一歩先を行く対策を行うためには、インテリジェンスが必要です。このインテリジェンスの提供に、IBMはテクノロジーを使って貢献していきます。

なお、IBMでは、先にご紹介した取り組みの他にも、さらなる未来に向けた研究を進めています。たとえば最近発表したものですと、Havyn (ヘイヴン)という音声アシスタントの取り組みが挙げられます。

これは、Watson for Cyber Securityとアナリストが音声で「対話」できるようにすることで、新たに出現した脅威に関する最新情報や、推奨される修復処理をアナリストに提示、Cognitive SOCを支援する音声アシスタントです。現在、ヘイヴンは、IBM MSSを担当する選任された研究員とアナリストによってテストされています。