コンテキストベースセキュリティへの期待と残念な欠落点Computer Weekly製品導入ガイド

コンテキストベースのセキュリティ対策は、位置情報、時刻、デバイスの種類といった状況に関する情報を効果的な意思決定に結び付ける。

2015年01月07日 08時00分 公開
[Warwick AshfordComputer Weekly]

 コンテキスト認識型のセキュリティ対策が提唱されてから10年以上たつ。そのアイデアは単純だ。位置情報、デバイス、アクセスされた情報といった要因を使って必要なセキュリティ対策の種類と強度を見極める。ID、位置情報、時刻、デバイスの種類、データの事業価値や評判といった、状況に関する情報を使うことによって、理論上はより効率的で効果が高く正確なセキュリティ上の意思決定が可能になるはずだ。

 この10年で、テクノロジーやネットワークはそうしたシステムを実現・商用化できるところまで進化した。だが、プラットフォームやアプリケーションは1つではないことから、コンテキスト認識型技術の普及度は判断しにくい。

 (ISC)2のマネージングディレクター、エイドリアン・デイビス氏は言う。「コンテキスト認識型製品のサプライヤーは増えつつあり、CiscoのpxGridなど既にインテグレーションプラットフォームを提供しているものもある。しかし企業への導入はあまり進んでいないようだ。私物端末の業務利用(BYOD)やクラウド、サイバー防衛といった他のプロジェクトが優先され、限られた予算の大部分を使っている。しかも、そうした技術は相当の投資やネットワークインフラの変更が必要になることもある」

コンテキストベースセキュリティの人気

 BYODやクラウド戦略がコンテキストベース型セキュリティから予算を奪っている組織もある一方で、それらが採用を促している組織もある。かつて厳重だったネットワーク周辺をクラウドやモバイルコンピューティングが埋めつつある中で、コンテキストベースセキュリティの重要性が増しているからだ。

 さらに、データ生成、収集、分析の進歩によって、ネットワークは動きの速い状況や予想外の状況に対してよりインテリジェントに反応できるようになった。このおかげで企業や銀行は、アクセス・ID管理システムで不審な挙動を追跡し、潜在的なデータ流出や詐欺を洗い出せるようになった。

 そうしたシステムを下支えするアルゴリズムも進歩し、履歴データの量も増大してさらに精度の高いコンテキストに基づく決定ができるようになったと指摘するのはInformation Security Forum(ISF)の上級調査アナリスト、デイブ・クレメンテ氏。「しかしこれは技術だけの問題ではない。問題と解決の中核をなすのは人的要素だ。結局のところ、何が不審な挙動に該当するかを判断し、それに従ってアルゴリズムを設計するのは人間だ」

 ISFは最近の報告書でこの課題を取り上げ、従業員に基本的なセキュリティ問題を認識させるだけでなく、行動を変えさせるための方法を紹介している。




続きを読むには、[続きを読む]ボタンを押して
会員登録あるいはログインしてください。






ITmedia マーケティング新着記事

news057.jpg

AIに対して良い印象を持っている人は70%以上 理由は?
楽天インサイトが「AIに関する調査」結果を発表。AI(人工知能)のイメージや生活への関...

news079.jpg

狙うは「銀髪経済」 中国でアクティブシニア事業を展開する企業とマイクロアドが合弁会社を設立
マイクロアドは中国の上海東犁と合弁会社を設立。中国ビジネスの拡大を狙う日本企業のプ...

news068.jpg

社会人1年目と2年目の意識調査2024 「出世したいと思わない」社会人1年生は44%、2年生は53%
ソニー生命保険が毎年実施している「社会人1年目と2年目の意識調査」の2024年版の結果です。