データ侵害を迅速に検出し阻止

データ侵害の発生後に分析してみると、多くの場合、監査ログには悪意あるアクティビティの痕跡がはっきりと残っています。システムに対する脅威をすばやく検出できれば、被害を未然に食い止めることができます。

NetIQでは次のような支援を行っています。

被害を受ける前に、脅威を迅速に識別し阻止

一般的に、データ侵害が発生した後のフォレンジック分析では、悪意あるアクティビティの痕跡が監査ログにはっきりと見つかります。セキュリティチームがそのアクティビティを把握できていれば、セキュリティ上の脅威を阻止できた可能性は十分にあります。少なくとも、その脅威を軽減することはできたでしょう。しかし、どのアクティビティが真の脅威となるかを見極め、調査の必要性を判断することは困難な作業です。

被害を受ける前に脅威をすばやく識別するには、セキュリティイベント発生時にリアルタイムで情報を取得し分析することが必要です。通常とは異なる動きをその場で見つけ、詳細に調べることが必要な場合もあります。

SIEMテクノロジを導入すると、お客様の環境で通常起きているアクティビティのパターンについてベースラインを設定できます。ベースラインが設定され、リアルタイムのセキュリティ分析が実現すると、通常と違うアクティビティを識別できます。どんな情報を探すべきか正確に把握していなくても問題ありません。セキュリティインテリジェンスをさらに充実させたい場合は、SIEMの機能を変更モニタリングソリューションで補完できます。不正アクセスや重要なファイルやシステムへの変更を見つけた場合、アラートを送信し、SIEMの機能の幅を広げます。すばやいアラート送信や応答時間の短縮を実現し、重大なデータ侵害のリスクも大幅に低減します。

ユーザアクティビティを把握

ミッションクリティカルなシステムや情報アセットへは適切なレベルのアクセス権を付与することが重要です。不正ユーザによるシステムの破損やデータ盗難を防がなければなりません。ただし、本当に問題なのは、職務の一環としてシステムや情報にアクセスすることが認められた、「信頼できる」内部ユーザからの攻撃に備えることです。

セキュリティモニタリングテクノロジをアイデンティティ管理と統合すると、ユーザや管理者固有のアイデンティティ情報を使ってセキュリティデータを強化できます。システムへのアクセスや変更について「いつ、誰が、どこで、何をしたか」詳しく把握することが可能になります。状況を把握することで、どのアクティビティが真の脅威となるか見極めることができるのです。また、お客様の環境に潜むリスクの全体像をしっかりとつかむこともできます。

今後の攻撃に備えて、セキュリティインテリジェンスを確立

今後の攻撃に備えて、セキュリティインテリジェンスの基盤を拡張し、適切なステークホルダーに適切なデータを提供する必要があります。CISO、コンプライアンスオフィサー、監査官、セキュリティ担当者、ITシステム担当者は、情報を取得し、数時間や数日単位ではなく数分で正確なアクションを起こすことが求められます。

まずは、ホスト、アプリケーション、ネットワークデバイス、データベースのデータを監視することから始めてください。データが蓄積してくると、分析やレポーティングの質も改善されてきます。データを環境的要素やアイデンティティ管理と統合し、ビジネス目標やコンプライアンス要件との連携が可能になると、驚くほどの成果が得られます。セキュリティとコンプライアンスの全体的な状況をリアルタイムで把握でき、 防御を強化する分野を発見できます。こうした対策を取ることで、セキュリティインシデントへの対応を改善し、リスクを軽減できるうえ、重要な情報アセットを保護できます。

NetIQのお客様