データ分析:セキュリティの啓蒙に向けて

テクノロジーの進歩とコストの低下により、より多くのセキュリティ チームがデータ分析を導入できるようになりました。より包括的な状況認識を実現し、潜在的な脅威に対する洞察を得るために、多くのセキュリティ チームでは、さまざまな内部および外部ソースからデータを収集しています。しかし、実際に価値のあるデータをどのようにして判断できるのでしょう?どのようにして実用的な結果を得るのでしょう?この重要な機能を構築する最も効果的な方法は何でしょう?

SBIC(Security for Business Innovation Council)のメンバーであり、世界最高水準の実績を持つセキュリティ業界の経営者らが、自らの経験に基づき、データ分析のプロセスを構築する方法についての貴重なアドバイスをまとめました。この記事は、以下のSBICの最新レポートに収められています。Transforming Information Security, Future-Proofing Processesこのレポートは、どのようなデータをどこから収集するかについて検討中の組織にとって、非常に有益です。

SBICでは、取り組みを始めたばかりの組織に対して、現実的なアプローチを推奨しています。まずデータ分析で回答を得ることが可能な質問のタイプを検討し、次にそれらの回答を得るために役立つデータについて考えます。サンプルの事例として、異常な使用方法と、移動速度の違反の2つを考えてみましょう。

たとえば、ある特定のシステムに対するシステム管理者アクティビティが正規ユーザーによるものか、侵入者によるものかを知りたいとします。その答えは、1つのマシンに対して、複数の認証情報セットが短い間隔で繰り返し使用される場合や、管理者が自分の作業命令とはまったく関係のないシステムに接続を試みる場合のような、異常なアクティビティ パターンから得ることができます。異常な使用方法が見つかった場合は、詳しく調査する必要があります。

各事例では、データ コレクション、アルゴリズム作成、テスト、改良、のサイクルを繰り返す、反復的なプロセスを実行する必要があります。移動速度の違反を探している場合、そのプロセスは次のようになります。

質問:セキュリティ チームから、「あるユーザーが、異なる場所からネットワークにログインする場合、どのようなときに「通常の移動」速度に違反している(すなわち、非常に離れた2つの場所から、非常に短い間隔でアクティビティが行われた)とみなされるのか」という質問が出されました。

データ コレクション:セキュリティ チームは、建物内でIDカードをスワイプした場所、IPアドレス、モバイル デバイスの接続、スタティックVPN接続や、それらのログのタイムスタンプ、さらには、会社の出張日程などを調べて、ユーザーのいた場所を特定します。

アルゴリズム作成:ユーザーの移動速度を計算した値に基づきリスク スコアを生成するアルゴリズムを、データ アナリストが作成します。

テストと改良:どのようなケースで、通常のアクティビティが高いリスク スコアを生成するかを、チームが判断します。必要に応じてデータを追加するなどして、アルゴリズムを改良し、誤判定を減らします。

この過程で起こりがちな問題として、どのようなデータが有用であるかを決定した後で、そのデータの入手が困難であることや、必要なデータがログに含まれていないことが分かる場合があります。場合によっては、セキュリティ チームが元のデバイスまでさかのぼり、必要なデータを取得するようにログを再構成しなければならないこともあります。その結果、システムのパフォーマンスに影響が出て、システムのオーナーから苦情が出ることもあります。セキュリティに関連したログを生成するためにシステムのオーナーと交渉することも、データ分析機能を構築するための要素の1つです。

今日、大多数のセキュリティ チームにとって、データ分析機能の構築は、終わりのない作業です。数多くの実験と高度な交渉を重ねる必要はありますが、有意義な分析により、より堅実で、データに基づいたセキュリティの意思決定を行えるようになります。

 「データ分析では、意味のある結果を得ることが最大の課題です。 時間をかけて、一貫性のある戦略を立てなければなりません。 ビジネスの遂行のための情報に焦点を絞り、質問を考えてください。 そうしなければ、データの海を泳ぎ回ることになります。」 Fidelity Investments、企業情報セキュリティ&リスク担当上級副社長、Timothy McKnight氏

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

No Comments