海外展開での悩み事と「木を見て森を見ず」のセキュリティにアドバイス アナリスト陣が講演セキュリティ&リスク・マネジメント サミット リポート(2/2 ページ)

» 2013年07月01日 19時54分 公開
[國谷武史,ITmedia]
前のページへ 1|2       

セキュリティインテリジェンスとは?

米Gartner リサーチ バイスプレジデント兼Gartnerフェローのジョセフ・フェイマン氏

 ジョセフ・フェイマン氏による特別講演「セキュリティ・サイロからエンタプライズ・セキュリティ・インテリジェンスへ」では現行のセキュリティの課題と、セキュリティインテリジェンスのアプローチが示された。ここでいうインテリジェンスとは、「情報を収集し、ナレッジとスキルを獲得し、適用を可能にする」ことを指す。

 フェイマン氏は、これまでのセキュリティのパラダイムに限界に来たと指摘する。その理由は、従来のセキュリティ対策がポイントソリューションであり、対策領域が“サイロ化”して、脅威の監視や検知もサイロ化している。対策の目的やそこでの判断もポイントごとに行われる。

 同氏は、これを「木(ポイントソリューション)を見て、森(セキュリティ対策)を見ず」と表現する。現在のサイバー攻撃などのリスクは、木と木の隙間(ギャップ)から侵入しており、このために検知が難しくなっている。そのためにも森の地図を作ってギャップを見つけ、埋めることが必要だとフェイマン氏は述べている。セキュリティインテリジェンスは、このためのアプローチといえる。

 セキュリティインテリジェンスを実現するには、セキュリティ対策のそれぞれのポイントが提供する情報を統合し、相関付けを行う仕組みと、それぞれのポイントにおける対策機能を協調・連動させる仕組みの2つをセットにして、運用していく。

 セキュリティインテリジェンス実現へのステップとして、例えば、アプリケーションのセキュリティ対策では本番前におけるソースコードの脆弱性検査(静的解析)と、アプリケーションを実行させての検査(動的解析)を連動させるようにする。これにより、事前に把握した脆弱性と運用後に判明するかもしれない未知の脆弱性について、統合的な脅威管理を行っていけるという。

 また、2012年後半から注目され始めたステップに「SIEM(セキュリティインシデント・イベント管理)」もある。SIEMではポイントソリューションあるいは情報システムが提供する情報(ログなど)に、コンテキスト(業務やコンプライアンス、個人情報、リスクなどさまざまなもの)を加えてその関連性を分析する。その結果をリアルタイムな行動(警告や例外処理)に反映させながら、イベント後に方針や手法の評価、改善などにもつなげていく。

 フェイマン氏は、セキュリティインテリジェンスの実現が「評価」と「処置」の進化をもたらすとも解説する。評価の進化とは、例えば、あるイベントに対するレポートはその1つのイベントに関するものだが、インテリジェンスによって、より広範かつ深い情報をリアルタイムに活用できるようなものに高めていける。処置の進化では従来の仕組みが1つ1つのサイロにとどまっていたものが、サイロを横断する自動化されたものにしていける。

 セキュリティインテリジェンスの実現に向けて同氏は、(1)直ちにサイロ化されたセキュリティアーキテクチャを再評価し、その制限を緩和するセキュリティインテリジェンスを検討する、(2)90日以内にセキュリティインテリジェンスを可能にする方法(技術やベンダーなど)を選定する、(3)1年以内に中核となるアーキテクチャの原理原則としてセキュリティインテリジェンスを適用する――という行動をアドバイスした。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ