攻撃者は非常に専門性が高くなってきているため、1つのテクノロジですべての脅威に対応できるわけではない。攻撃者が侵入した場合、いかに早くそれに気づくかが重要で、対応までの時間をスピードアップさせる必要がある。
最近起こった顧客先での話なのだが、セキュリティ監査の最中、まさに不正アクセスが行われている瞬間を発見したことがあった。そこで、セキュリティ監査から急きょインシデントレスポンスに対応を切り替え、攻撃者を調べることにした。彼らが何をしようとしているのか、利用しているツールや作戦、方法はどんなものかを突き止め、攻撃を阻止することに成功した。エグゼクティブのメールにZIPファイルを送りつけようとしていたのを、寸前で削除したのだ。その時、攻撃者はこのゲームに負けたことを非常に悔しく感じたらしく、ここでは言えないようなひどく汚い言葉でわれわれのチームに文句を言ってきたよ。
このような例もあるのだから、防御だけでなく検知とレスポンスにも力を入れてほしいと思う。脅威の環境は常に変化しているのだから、5年前のように防御だけのアプローチだけでは現在の脅威に対応できない。早く皆そのことに気づいてほしいと願っている。
――日本ではマイナンバー制度を導入しようとしているが、堅牢なファイアウォールがあるため情報漏えいは起こらないと政府が主張している。この件についてコメントを伺いたい。
いくら堅牢なファイアウォールを用意しても、頭のいい攻撃者は必ずその壁を乗り越える。それが次世代の壁であったとしてもだ。つまり、不正アクセスが起こらないような仕組みを考えるのではなく、不正アクセスがあった時に何をすべきかを考えるべきなのだ。重要なデータを狙う攻撃者は必ず存在し、侵入にも成功するだろう。だからこそ、侵入された時の対応を考えておくべきだ。
以下ソース
http://cloud.watch.impress.co.jp/docs/interview/20150727_713494.html
米EMC RSA 最高技術責任者 Zulfikar Ramzanさん
http://cloud.watch.impress.co.jp/img/clw/docs/713/494/001.jpg