既存セキュリティの穴を補完する「コンテキスト」の威力：Computer Weekly製品導入ガイド

コンテキスト認識型セキュリティ対策は、ポイントセキュリティ技術の代替にはならない。だが、攻撃が差し迫っていることを告げ、それがどのような形態になるかを予想することは可能だ。

[Bob Tarey，Computer Weekly]

　文脈を広げて見た場合にのみ、不審に見える事柄というものがある。例えば会計士がロンドンの本社で働いていて、財務情報を定期的に参照していたとする。他都市（例えばニューヨーク）にある支社を訪れた際に、そこの情報を参照することが役に立つ場合もあるだろう。だが、その会計士が会社の物理的セキュリティシステム上ではロンドンにいることになっているのに、ニューヨークでデータをダウンロードしていたとすると筋が通らない。

　このような形で不審な行為を見つけ出すことが、コンテキスト認識型セキュリティ対策の基本概念だ。1つの出来事を他の出来事の発生と共に、過去のログデータや他のさまざまなソースからの情報と照らし合わせて検証する。そのためには相当量のデータにリアルタイムでアクセスし、リアルタイムでそれを処理できなければならない。コンテキスト認識型のセキュリティ対策は、ビッグデータの課題と形容されることもある。つまり、大量のデータを処理し、そこから役に立つ情報を引き出せなければならない。

　ログデータの保存と処理については目新しいことは何もない。例えばLogRhythmやLogLogic（後者は2012年にTIBCOに買収された）といったログ管理ソフトウェアのサプライヤーは何年も前から存在していた。ログ管理に投資する主な理由はコンプライアンス関連であり、サーバやネットワーク、デバイス、セキュリティシステムなどのログファイルを収集してデータを分析し、その組織のITシステム上で誰が何をしていたかの監査記録をIT担当者が生成できるようにすることにある。

　ログ管理ソフトウェアのサプライヤーは、過去10年の間に製品を進化させ、システム上およびその周辺で起きている出来事とログデータを照らし合わせて参照できる機能を提供するようになった。ここから生まれたSIEM（セキュリティ情報イベント管理）という用語は、Gartnerが2005年ごろに初めて使用した。SIEMツールでは、ログデータを他の情報、例えばユーザーとその権限、サードパーティーフィード（脆弱性、マルウェア、ニュース、天気予報など）、位置情報（IPアドレスとモバイル端末追跡を利用）、新しい規制要件といった情報と組み合わせる。その全てを使ってコンプライアンス報告やセキュリティ診断のための詳しいリポートを提供する。

　SIEMが主流になる中で、大手ITセキュリティサプライヤーの多くは買収を通じてこの市場に参入した。特筆すべき案件として、HPのArcSight買収（2010年）、IBMのQ1 Labs買収2011年）、McAfeeのNitroSecurity買収（2011年）、EMC RSAのNetWitness買収（2011年）などが挙げられる。

　LogRhythmはSIEMサプライヤーと見なされている。他にはRed Lambda、Trustwave、SenSageなどがある。SplunkはSIEMサプライヤーと見なされることもあるが、同社の重点はさらに広く、ITオペレーショナルインテリジェンスを使ってコマーシャルおよびセキュリティ情報を提供している。

　だが、さらに先を行き、コンテキスト認識型セキュリティの真価をリアルタイムで発揮させるためには、SIEMツールを強化し、高速分析を行ってリアルタイムの防御を実現する必要がある。Quocircaは2012年7月の報告書で、これに先端サイバーセキュリティインテリジェンス（advanced cyber-security intelligence＝ASI）という用語を当てはめた。次世代SIEM（NG-SIEM）という用語を使うところもある。

コンテキスト認識型セキュリティに必要な基本条件

　どのような用語で呼ぶにしても、コンテキスト認識型セキュリティ機能の提供をうたうサプライヤーは、以下の全てを兼ね備えたツールを提供しなければならない。

関連コンテンツ

• Computer Weekly日本語版　11月20日号：セキュリティ担当者を悩ます2つの敵

セキュリティ担当者の敵は、攻撃者だけではない。ある大手調査会社のセキュリティ侵害事例から得られる教訓とは？