セキュリティ対策には、その瞬間に起きている脅威に関する情報から得られる知見を活用し、具体的な対応を講じることが不可欠になる。セキュリティベンダーが提供する「世界規模の脅威情報」とはどのようなものだろうか――。
(このコンテンツはマカフィー「McAfee Blog Central」からの転載です。一部を変更しています。)
先日、「企業セキュリティにおける成熟度モデル」と「最適化されたセキュリティ実現への道」について、解説しました。McAfeeでは、最適なセキュリティプログラムには3つの主な要素があると考えています。その3つの要素は「グローバルベースの脅威情報」「多層防御」「自動化されたコンプライアンス」です。今回はこの「グローバルベースの脅威情報」について、必要とされているセキュリティの原理について詳述します。
一般的に、脅威情報とは更新頻度の高い、動的な脅威検知の情報を提供することで、展開されているあらゆるセキュリティソリューションを活性化するものです。一方で「グローバルベースの脅威情報」は、リアクティブな脅威情報を収集して予測を行うシステムといえます。
それでは、グローバルベースの脅威情報における6つの原理を見ていきましょう。
グローバルベースの脅威情報を得るためには、世界中にインターネットを測定するセンサーを用意する必要があります。これにより、インターネットの脅威全体をリアルタイムで把握できるようになります。コンテンツは世界中のトランジットポイントからインターネットに記録されるため、早期検出を行うには、あらゆるエントリーポイントにできるだけ近づいていることが重要です。「グローバルフットプリント」とは、狭い範囲や単一の場所、限られた言語で起こっている事象だけでなく、あらゆる場所で起こっている事象を確認できることを指します。
「グローバル」とは、ユーザーの情報の発信源はあらゆる主要な脅威ベクトル――つまり脅威伝搬チャネル(ファイル、Web、メール、ネットワーク)――がすべて相関しているということを意味しています。こうした複数の脅威ベクトルのコンテンツ分析を組み合わせることによって、多次元化しつつある今日の攻撃から身を守ることが可能になります。
攻撃は絶えず起こっています。クラウド内のリアルタイムな脅威情報とは、データが常時収集され、情報がノンストップで配信されている状況を指します。リアルタイムで情報を送受信できなければ、今日の脅威に必要な防護は実現しないでしょう。これは、企業ネットワークのセキュリティの範囲外であるモバイルユーザーやリモートユーザーの防護にとっても、非常に重要なことです。
リアクティブな脅威情報は、たいていの場合、ホワイトリストやブラックリストのアプローチに依存しており、検体は「正常」または「異常」となります。その一方で、レピュテーションは、インターネットの独自性によって、絶え間なく変化するリスクを特定する確率スコアを付加します。セキュリティ製品が対策の方針決定を瞬時に行うことができるのは、レピュテーションスコアの付加によります。レピュテーションは絶えず変化しているため、コンテンツ評価は常にリアルタイムで脅威に対応することができるのです。
脅威情報にとって根本的に重要なのは人材です。読者の皆さんの勤務先本社だけに限らず、攻撃はどこでも起こりえます。脅威に対処するためには、最新技術を常に学んでいる専門家による分散型の専任チームが必要です。ほとんどの企業では自社専任研究チームを設けています。取引先ベンダーには、最低限そうしたチームの設立を求めるべきです。
単体製品を利用する場合、脅威情報からはあまり効果が得られません。脅威情報は、セキュリティプログラム全体で共有する必要があります。各ソリューションがそれぞれに即して効果を発揮することにより、ほかのツールとの協調が実現します。多面的な脅威に立ち向かうには、様々なタッチポイントの同時更新が必要といえるでしょう。
極めて動的かつ迅速に変化する脅威環境においてセキュリティプログラムを成功させるためには、脅威情報の質、そして、洞察が非常に重要です。ユーザーが自社の事象を把握できるようにするだけでなく、その情報に迅速かつ効率的に対応できるようにすることも必要です。グローバルベースの脅威情報を実現することは、最適化されたセキュリティ体制構築の第一歩にすぎません。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.