「誰が・どうやって？」コンテキストベースセキュリティがオススメの理由：Computer Weekly製品導入ガイド

組織はコンテキスト認識型セキュリティ技術に対してどうアプローチすべきか。また、これはどのような恩恵をもたらすのか。

[Warwick Ashford，Computer Weekly]

　情報セキュリティ業界は過去30年にわたり、新手の脅威が出現するたびにあらゆる対策を繰り出して対応してきた。だが、重要情報をひそかに盗み出すことを狙った多段階のマルチチャネル型攻撃を前に、そうした対策は敗北しつつある。今こそアプローチを変えるべき時だ。

　変化は既に始まっている。台頭しているのは、コンテンツ認識機能の強化によって、これまでの製品よりも順応性を高めた次世代情報セキュリティ技術だ。これはID、場所、日時、端末の種類、データの事業価値、評判といった状況情報を使って、より効果的、効率的かつ正確な情報セキュリティ対策を決定すべく設計されている。

事業上のメリット

　セキュリティ対策の強化とは別に、事業上の最大のメリットの1つは、対応にかかる時間の短縮と、インシデントに際して正しい決定ができる確率が高まることによる運用コストの削減だ。例えば次世代侵入防止システム（IPS）は、システムの脆弱性コンテキストを使ってルール設定をより正確に調整し、システムに掛かる負荷と誤検知率の両方を減らす。同様に、現在のファイアウォールのルールや資産の事業価値といったコンテキスト情報を使えば、セキュリティアラートの件数は数百件から、最大級のリスクを伴う脆弱性に関するごく少数へと削減できる。

　また、標的型マルウェアをダウンロードさせるリンクを仕込んだフィッシング詐欺メールによる攻撃は、定義ファイルを使ったセキュリティシステムでは阻止できない。一方、仕込まれたリンクの評判をコンテキストの形でチェックするセキュアWebゲートウェイであれば、もしそのリンクの評判が悪ければ感染を防止できる。

ユーザープロファイル

　コンテキスト認識コンピューティングの時代に大切なのは、ユーザーが誰かであるかだけではない。ユーザーのリクエストの内容や接続形態、接続時間、どこからなぜ接続しているのかも重要だ。

　「それが念頭にあれば、企業は個々のユーザーに対して別々のチャネルを通じ、別々のアプローチができる」。Information Systems Audit and Control Association（Isaca）の国際副代表、ラムセス・ガレゴ氏はそう解説する。

　コンテキストはまた、企業が自社のネットワーク上で「平常」のやりとりを見極める助けになる要素としても重要だ。ほとんどの企業にとって、「平常」と「異常」の区別は複雑すぎて、見分けがつかない。

　LogRhythmの国際市場担当副社長兼マネージングディレクター、ロス・ブリュワー氏によると、コンテンツ認識性能が強化されつつある次世代セキュリティ情報・イベント管理（Security Information and Event Management：SIEM）システムの事真価はそこにある。

関連コンテンツ

• Computer Weekly日本語版　11月20日号：セキュリティ担当者を悩ます2つの敵

セキュリティ担当者の敵は、攻撃者だけではない。ある大手調査会社のセキュリティ侵害事例から得られる教訓とは？

コンテキストベースのアクセス管理