Telecom Italia、セキュリティ・イベントを新たな視点で調査し、サイバー攻撃を防止

モバイルデバイスに対する攻撃、とりわけ、特定の脆弱性につけ込むマルウェアを通じた社会的な活動が爆発的に増加している。高度化するサイバー犯罪の攻撃に対抗するには的確な戦略が必要であり、Telecom Italiaの場合は、リスク・シナリオの刷新とSAS Visual Analyticsの付加価値がその実現に役立った。同社での取り組みについて、セキュリティ研究所マネージャー、ステファノ・ボルソッチ(Stefano Brusotti)氏にお話を伺った。

分析担当者自身が大量のデータを迅速に処理し、攻撃の進化の動きをひと目で把握し、簡単なクリック操作で新たな関係を作成することができるため、データ調査のキャパシティが大幅に向上し、新たな脅威の発見と対策の実施にかかる時間も短縮されます。

ステファノ・ボルソッチ
(Stefano Brusotti)氏

Telecom Italia、セキュリティ研究所マネージャー

セキュリティ研究所の主な仕事は調査研究と実験、ということで間違いないでしょうか?
私たちの仕事は、最新のサイバー・セキュリティ課題に対処するために必要なノウハウを獲得・開発することです。具体的には、リスク・シナリオを理解することと、新たな脅威に対抗するのに最適なテクノロジーを特定することに重点を置いています。組織構造上は、私たちはテクニカル・セキュリティ部門に属しています。この部門では、研究ラボでのイノベーションから、セキュリティ・リスク管理の運用、Telecom Italiaのインフラに展開するセキュリティ・ソリューションの設計まで、幅広い活動を行っています。

セキュリティ研究所におけるイノベーションと調査研究活動の重要性についてご説明ください。
私たちの取り組みの中でも特に重要な部分は技術的なイノベーションに関連しています。具体的には、新しいソリューションの実験、設計、調査、ベンチマークや、ネットワークに導入する商用テクノロジーやモバイル端末/デバイスのセキュリティ・テストなどです。また、欧州共同体と標準化団体から資金提供を受けているプロジェクトの国際的なワークグループにも参加しており、新出のテクノロジーや最も効果的な防衛戦略に関する情報収集の面で有利な立場を確保できています。

昨今は全世界的にサイバー・セキュリティ問題への関心が高まりつつあり、その大きな理由としてデジタル領域の急拡大を挙げることができると思いますが、ご自身の経験からはどのようにお考えですか?
モバイルのトラフィックが爆発的に増大し、より高性能なデバイスが次々と登場していることから、今やサイバー犯罪に対する関心の多くはモバイル・ワールドに注がれています。特に、経済取引チャネルのモバイル・ネットワークへの移行が進んでいることから、スマートフォンやタブレットによる取引はもとより、それらを用いた仮想クレジットカード/デビットカード決済も普及しつつあります。そのため、これらのデバイスの中には、サイバー犯罪者にとって非常に魅力的な個人情報が大量に潜んでいるのです。

マルウェア問題は今後も世間を騒がせ続けるのでしょうか?
少し前までは、マルウェアの作成に必要なルートキットを購入できる闇市場を主なターゲットにすることで、犯罪に対抗できました。そうしたキットはある程度標準化されたコンポーネントですから、対抗するのは比較的容易です。今日では、犯罪組織が特定のターゲットを攻撃する目的で、開発者に非定型のプログラムの作成を依頼する傾向が見られます。こうしたケースでは巧妙で永続的な手口が使われるため、長期間の潜伏が可能であり、その存在が明らかになるのは「攻撃者」が攻撃命令を出した後のみ、という点が問題となります。

組織が被る可能性のあるダメージの規模を見積もることはできるのでしょうか?
先ほど触れた脅威とは別に、いわゆるサービス拒否(DoS)攻撃もあります。これは一般に、反社会的な活動やテロ行為という新たなトレンドの一部として実行されています。デジタル・ワールドの場合、こうした活動家は「ネットワークのリソースと計算能力を飽和状態にすることで、公的機関や企業がサービスを提供できない状態に陥らせる」という攻撃手法を用いて、インターネットの仮想世界を占拠しようとします。こうした攻撃による被害の大きさは、いくつかのデータから推定できます。数ヶ月前に行われた研究では、米国の複数の銀行を標的とした攻撃による被害は1分あたり3万ドルに達すると発表されています。Telecom Italiaでも昨年、1秒あたり数十ギガビットのDoS攻撃を検出し、対抗策を実行しました。今年の最初の3ヶ月における被害額は、既に昨年の3倍に達しています。

こうした憂慮すべきシナリオにどのように対処すればよいのでしょうか?
セキュリティ研究所が示した基本要素にもとづきTelecom Italiaが実践している戦略ではプロアクティブ性に重点を置いており、新たな傾向や脅威の予兆となるシグナルを早期に検出することで、攻撃の種類や範囲に応じて最も適した対抗手段を用意できるようになっています。最も貴重なリソースの1つはビッグデータです。何よりもまず、ビッグデータは、ネットワークやデータセンターに配備された機器が生成するセキュリティ・イベントに関する情報を取得するために利用できます。また、ビッグデータはいわば「オープンソース」であり、Webサイト、ソーシャル・ネットワーク、チャット、ブログなど、デジタル領域における情報の宝庫を幅広く利用できます。こうしたデータを活用すれば、攻撃準備活動の検知、攻撃の阻止、脆弱性の発見などを効果的に行うことができます。

そうしたデータの多くは非構造化データですが、その点が問題になることはありませんか?
幅広いソースから取得できる情報を活用するという意味での「オープンソース・インテリジェンス」では、構造化されていない情報を扱うことを前提としています。この取り組みでは、種類やサイズが揃っていない異種混在ソースを扱うことを可能するテクノロジーを用いて、セマンティック・ルールを適用し、真に有意義な情報を識別することになります。いずれにせよ、構造化情報または非構造化情報のどちらを扱うかに関係なく、基本的な目的は、大量のビッグデータから未知の事象、統合の傾向、将来の進化の方向性などを明かにすることです。そして、このフレームワーク内でプロジェクトの価値を最大限に高める方法を検討した結果、私たちはSAS Visual Analyticsに投資することにしたのです。

新たな事象を発見するためのツールとして、SAS Visual Analyticsを導入したということでしょうか?
このツールを導入した第一の目的は、従来の分析ロジックを補完することでした。しかし、何よりも重要なのは、分析担当者が自律的にさまざまな角度からデータを調べて新たな相関関係を発見し、以前は知り得なかった事象の特性を明らかにし、それらの事象を従来のセキュリティ・ツールで検知するためのコードを生成できるようになる、という点です。SASを選択したことで、それも可能になったのです。私たちはソリューション選定の段階で、SASに対し、ビジュアル・アナリティクスのコミュニティで挙げられていた課題を提示したのですが、その課題は見事に克服されました。10億件のレコードから感染イベントを検知するソリューションの能力は素晴らしいものです。しかし導入を通じて私達が理解したそれ以上に重要なことは、データの相関を明らかにし、時間軸に沿って追跡し、事象の伝播をビジュアル化する上で、ビジュアル・アナリティクスという手法がいかに効率的かということでした。

「ビジュアル」という新たな価値を手にしたことで、どのようなことが可能になったのでしょうか?
文字だらけのログと比べ、グラフなどの画像には、知的刺激、理由付け、分析に関して全く異なる脳内メカニズムを活性化する効果があると思います。例えば、分析担当者がログデータで作業しているときは、既知の何らかの定石的な方法にもとづく思考パターンの範囲内でのみ、調査手法の適用、データの集計、相関付けを実行することになります。しかし、そうした思考パターンは、未知の事象を探索する上では発想力の制約となりかねません。SAS Visual Analyticsでは、分析担当者自身が大量のデータを迅速に処理し、手口の進化の様子をひと目で把握し、簡単なクリック操作で新たな関係を作成することができるため、データ調査のキャパシティが大幅に向上し、新たな脅威の発見と対策の実施にかかる時間も短縮されます。

サイバー・セキュリティのプロジェクトは既に現場に展開しているのでしょうか?その結果は?
数ヶ月にわたり、このツールを使って実際のデータを分析してきましたが、非常に心強い結果が得られています。前述のDoS攻撃の脅威に関しては、SAS Visual Analyticsの導入により、特定の攻撃を開始する目的で送られる偽造パケットを判別することや、それらの攻撃を阻止するのに適した閾値や設定パラメータをほんの数分で特定することが可能になりました。これは私たちの期待どおりの結果です。インメモリ方式で膨大なデータを処理した上で、潜在的な脅威を排除できるようにシステムを設定するのに必要な情報を視覚的な方法で極めて迅速に取得できるようになったのです。

Telecom Italia Logo

ビジネス課題

最新のサイバー・セキュリティ課題に対処するために必要なノウハウを獲得・開発する。具体的には、リスク・シナリオを理解することと、新たな脅威に対抗するのに最適なテクノロジーを特定することに重点を置く。

ソリューション

SAS® Visual Analytics

導入効果

分析担当者は自律的にさまざまな角度からデータを調べて新たな相関関係を発見し、以前は知り得なかった事象の特性を明らかにし、それらの事象を従来のセキュリティ・ツールで検知するためのコードを生成できるようになった。

 

本記事に掲載された導入効果は、各企業によって異なる状況やビジネスモデル、入力データ、業務環境に固有のものです。SASの紹介する顧客体験は、各企業に固有のものであり、業務面や技術面の背景もそれぞれ異なるため、各事例に掲載されたあらゆる証言は、導入の典型例を示すものではありません。導入にともなう金銭的効果、導入結果、ソリューションのパフォーマンスなどの特徴は、個別の顧客による機器構成や機器のコンディションに著しく左右されるものです。本事例は、すべてのSASの顧客が当該事例と同じ導入効果を得られるとするものではなく、そうした効果を保証するものでもありません。SAS製品および提供サービスの保証内容は、各製品・サービス向けに発行された保証書に記載された内容に限られます。したがって、本事例に掲載された内容は、それらの保証内容になんら補足するものではありません。事例に掲載された顧客は、各事例をSASとの契約にもとづいて提供しているか、SAS発行のソフトウェアの導入成功にともなう体験を要約しているにすぎません。

Back to Top