2012/12/21米国出張:HP Protect 2012 参加報告

昨年に続き、今年も9月9日から11日までの日程で、ArcSight をはじめとする Hewlett-Packard 社 Enterprise Security Product 部門の製品のユーザーカンファレンスである、HP Protect 2012 に参加してきました。例年はワシントンD.C.近郊が会場でしたが、今年は場所を移し、テネシー州ナッシュビルでの開催となりました。

ESP 部門が設立されて初めての開催で、これまでにない人数が参加した昨年と比べると、今年は参加人数こそ幾らか少なくなったように見受けられました。しかしダラス・フォートワース国際空港からの乗り継ぎで向かう国内便の中では、同じ列に座っていた方々が皆さんこのカンファレンスに参加されるとのことで、参加者の中ではすっかり恒例の行事として根付いてきているように思います。

■基調講演
今年は新たに ESP 部門の Senior Vice President に就任された Art Gilliland 氏による基調講演がありました。

APT(標的型攻撃) に代表されるサイバー攻撃の脅威はますます多様性を増してきていますが、注目すべきはその背景としての犯罪市場の拡大と、それに対する国家規模での支援との指摘がされていました。

不特定多数の中の一つとしてではなく、明確な意図をもって標的とされた場合、従来的なネットワーク境界の監視や 監査基準の遵守だけでは、十分な防御を期待することはできないと言っていいでしょう。

その後登壇された Heartland Payment System の CSO である John R. South 氏の講演でも、過去に同社が経験したセキュリティ侵害事案について、発覚するまでに非常に長い時間がかかったこと、そしてその間にも実施された様々な 対策、監査等では問題なしとされてきたことを実例を元に紹介されており、これまでのやり方に加えて更なる対策の必要性を裏付けるものでした。

また製品ロードマップでは、 ArcSight ESM のデータベース部分をこれまでの Oracle から独自開発した CORR エンジンに置き換えた、 ESM 6.0c のリリース予定が満を持して発表されました。
昨年 ArcSight Express に対して実装された時と比較しても、パフォーマンス、ストレージ効率、メンテナンス性 、いずれの面でも更に向上が見られます。

既に社内では検証を進めていますが、 SIEM 製品としての機能面での大きな変更こそないものの、性能面での向上が実際にどの程度なのかに注目しています。
今後より多様なログを多面的に分析することの必要性を考えると、着実な方向への進化と言えると考えています。

■個別セッション
日程が1 日減りこそしたものの、セッションの数はこれまでとほぼ変わらず、盛りだくさんな内容でした。

APT(標的型攻撃) 対策への関心は依然極めて高く、今回も関連する多くのセッションが持たれましたが、これまでと比較すると、新しい脅威に対してそれに対応した新しい技術、製品で対策するよりも、どのような情報が必要で、それらをいかに活用するか、特に細かな挙動に至るまでの詳細な異常をいかに早く正確に検知するかという汎用的な手法の模索に、より強くフォーカスしている印象を受けました。

実際の運用事例でも、こうした背景を踏まえて益々大規模化が進んでいます。
特に SIEM システム自体をスケールアウトさせる場合の構成や、そこでの運用、製品仕様だけでは対応できない部分での SI 要素など、独自要素が強く現れる部分について、具体的な話を聞くことができました。

我々がお客様にご提案し、実際に運用をご支援している環境でもそうした規模のものがありますが、考え方として共通している部分や、それぞれに固有の問題等あり、良い情報交換が出来ました。

また新たに導入される CORR エンジンをはじめとして、内部の細部の挙動に至る詳細な技術情報を得ることも出来ました。そうした情報を運用事例と合わせて検討することで、色々と新たな可能性、アイディアが見えてくる部分もあります。

弊社の提供する運用支援サービスにおいても、お客様のご要望を解決するヒントとなるものもあり、その点でも貴重な 情報となりました。

<写真>
・右上   :カンファレンス会場ホテル内部
・中央左  :基調講演の様子
・右下   :セッションの様子

- 執筆者 -
株式会社インフォセック ソリューション本部
シニアセキュリティエンジニア 白石知之