最適な企業セキュリティ-第2回：セキュリティ要素「グローバルベースの脅威情報」

• 脅威情報
• 2010.11.11
• 更新日：2018.3.15

先日、「企業セキュリティにおける成熟度モデル」と「最適化されたセキュリティ実現への道」について、解説しました。マカフィーでは、最適なセキュリティプログラムには3つの主な要素があると考えています。その3つの要素は「グローバルベースの脅威情報」、「多層防御」、「自動化されたコンプライアンス」です。今回はこの「グローバルベースの脅威情報」について、必要とされているセキュリティ原理について詳述します。

一般的に、脅威情報とは、更新頻度の高い動的な脅威検知情報を提供することで、展開されているあらゆるセキュリティソリューションを活性化するものです。一方で「グローバルベースの脅威情報」は、リアクティブな脅威情報を収集して予測を行うシステムといえます。

では、グローバルベースの脅威情報における6つの原理を見ていきましょう。

多数のセンサーによるインターネットの測定： グローバルベースの脅威情報を得るためには、世界中のインターネットを測定するセンサーを用意する必要があります。これにより、インターネットの脅威全体をリアルタイムで把握できるようになります。コンテンツは世界中のトランジットポイントからインターネットに記録されるため、早期検出を行うには、あらゆるエントリーポイントにできるだけ近づいていることが重要不可欠です。グローバルフットプリントとは、狭い範囲や単一の場所、限られた言語で起こっている事象だけでなく、あらゆる場所で起こっている事象を確認できることを指します。

重要な脅威ベクトル（ファイル、Web、メール、ネットワーク）をすべて網羅： “グローバル”とは、ユーザーの情報の発信源はあらゆる主要な脅威ベクトル、つまり脅威伝搬チャネル（ファイル、Web、メール、ネットワーク）が全て相関しているということを意味しています。こうした複数の脅威ベクトルのコンテンツ分析を組み合わせることによって、多次元化しつつある今日の攻撃から身を守ることが可能になります。

クラウドベースのリアルタイム脅威情報と配布： 攻撃は絶えず起こっています。クラウド内のリアルタイムな脅威情報とは、データが常時収集され、情報がノンストップで配信されている状況を指します。リアルタイムで情報を送受信できなければ、今日の脅威に必要な防護は実現しないでしょう。これは、企業ネットワークのセキュリティの範囲外であるモバイルユーザーやリモートユーザーの防護にとっても、非常に重要なことです。

コンテンツとレピュテーション分析の統合：リアクティブな脅威情報は、たいていの場合、ホワイトリストやブラックリストのアプローチに依存しており、検体は「正常」または「異常」となります。その一方で、レピュテーションは、インターネットの独自性によって絶え間なく変化するリスクを特定する確率スコアを付加します。各製品が方針決定を瞬時に行うことができるのは、レピュテーションスコアの付加によります。レピュテーションは絶えず変化しているため、コンテンツ評価は常にリアルタイムで脅威に対応することができるのです。

専任研究チーム： 脅威情報にとって根本的に重要なのは人材です。読者の皆さんの勤務先の本社だけに限らず、攻撃はどこでも起こりえます。脅威に対処するためには、最新技術を常に学んでいる専門家による分散型の専任チームが必要です。ほとんどの企業では自社専任研究チームを設けています。取引先ベンダーには、最低限そうしたチームの設立を求めるべきです。

あらゆるセキュリティ製品との統合：単品での製品利用の場合、脅威情報からは余り効果が得られません。脅威情報は、セキュリティプログラム全体で共有する必要があります。各ソリューションがそれぞれに即して効果を発揮することにより、他のツールとの協調が実現します。多面的な脅威に立ち向かうには、様々なタッチポイントの同時更新が必要といえるでしょう。

極めて動的で迅速な脅威環境でセキュリティプログラムを成功させるためには、脅威情報の質、そして洞察が非常に重要です。ユーザーが自社の事象を把握できるようにするだけでなく、その情報に迅速かつ効率的に対応できるようにすることも必要です。グローバルベースの脅威情報を実現することは、最適化されたセキュリティ体制構築の第一歩に過ぎません。