予測分析：未来の技術の実現

組織のセキュリティ対策
2016.3.23
更新日：2018.3.15

強力な分析機能があれば、攻撃の展開や初期段階での防御方法をより理解できるようになります

将来のセキュリティの手掛かりを調査するにつれて、予測は人類の歴史と同じくらい古くから存在することが分かりました。ビッグデータ、コンピュータモデル、高度なアルゴリズムによって、保険数理表、在庫量、金融行動などの正確な予測に一層近づくことが可能になりました。これらのツールは、価格設定、製造、承認申請に役立っています。高度な分析は、セキュリティ担当者が、攻撃経路を理解し、素早く対策を講じて脅威を封じ込め、深刻な脅威になる前に防御する上でも非常に役立っています。

セキュリティ担当者はすでに脅威の予測という責務を負っており、脅威予測は予算、購入、人材配置の決定に影響を及ぼしています。彼らは、今日の脅威に関する有用な情報を活用して、将来のために大規模な準備を進めています。しかし、毎日膨大な量の情報を扱う中で、1つの深刻な攻撃を有効かつ持続可能な方法で予測、対応するにはどうすればよいのでしょうか？

効果的に分析するには、正常な動作、イベント履歴、サードパーティのインテリジェンスを含む幅広い活動から得られる膨大な量のデータが必要です。残念ながら、私たちが収集している膨大な量のセキュリティデータは、すでに人間の分析力で解釈できる域を超えてしまっています。しかし幸いにも、予測分析がこうした情報を高速に処理し、実用的な形式で提供してくれます。

簡単な例で説明すると、複数のIPアドレスとドメインを使った過去の攻撃のデータがあるとします。これらのアドレスはすでに悪意があるものとしてフラグが付けられていますが、調査の結果同一の所有者が他に200のドメインを使用していることがわかりました。これらのドメインを監視リストに追加することにより、ネットワーク内からこれらのドメインへのアクセスが発生した場合に、新たに攻撃が仕掛けられる可能性があるという早期警告を受けられるようになります。

この例はシンプル過ぎるかもしれません。予測分析が一般的に使用されるようになるには、克服すべき重要な障害があります。それは「疑わしい」と「悪意がある」とを見分ける能力です。誰かが外をうろついているだけではなく、武器も所有しているかどうかを見極めるには、データに関する詳しいコンテキストが必要です。その情報はどこから入手したのか、どれくらい前のものか、なぜ悪意があるとマークされたのか、などを把握できなければなりません。McAfee Treat Intelligence Exchangeモデルを利用すれば、予測分析で必要とされるこのコンテキストを入手し、脅威情報をパートナー、業界の他の企業、セキュリティベンダー、政府機関との間でリアルタイムに共有することができます。

まだ不完全なアラート

コンテキストが入手できたとしても、予測分析から得られるアラートはまだ不完全な状態です。このアラートは、マルウェアシグネチャや既知の悪意のあるIPアドレスに匹敵するような確実な情報を提供していません。代わりに、脅威のすべての詳細情報を入手する前に防御アクションを早く開始できるよう、推定される原因に関する情報を提供しています。

市場がこれらのツールを使用する準備が整っているかといえば、そうとは言えません。私がお会いしたお客様の大半はコンプライアンスや法規制のユースケースのためのデータ収集で手一杯で、予測分析など夢のような目標です。しかしこうした組織でも、セキュリティ機能の統

合と自動化を進めることによって、予測に必要な基盤がゆっくりと構築されています。基盤となる機能には、リアルタイム検知、優先順位付け、環境内で発見されたセキュリティインシデントの検査などがあります。脅威ブロックの決定は、ポリシーや正常/異常な行動の詳細なプロファイルに基づいて自動的に行われるようになっています。私たちは、お客様がスマートで適合性のある統合ツールを利用して急速に進化する攻撃パターンに対応できるように、業界のパートナーとの連携を継続していきます。

強力な分析機能があれば、前線のスタッフが攻撃の展開や初期段階での防御方法をより理解できるようになります。

※本ページの内容は、以下でご覧いただけます。

原文: Predictive Analytics: The Future Is Now
著者: Vincent Weafer