@IT主催のIT Security Live Weekを視聴していて、知らない単語に出会ったり、知ってはいるんだけどごちゃごちゃになったりで、いろいろと整理を進める。
■EPPとEDR
個人的な感想なのだが、EDRはもともと用語としてあったが、EPPって用語はEDRと対比させるために後から作ったのではなかろうか・・・?
・EPP:Endpoint Protection Platformの略
⇒従来型のアンチウイルスソフトとほぼ同義。
シグネチャ方式による保護がポイント
・EDR:Endpoint Detection and Responseの略
⇒EPPはシグネチャ方式による保護となり、所謂入り口対策となる。
当然シグネチャが対応していなければ検知できない。
そこで、ソフトウェアの挙動をチェックし、不審な兆候を検知して
ブロックするのがEDRとなる。
EPPとEDRの関係を整理すると↓な感じになる。
EPPで検知したものはほぼマルウェアと断定できるが、EDRで検知したものは誤検知の可能性も残るため、精査が必要。
そのため、EDRは単にツールを入れればよいという単純なものではなく、導入後のオペレーションにもしっかり投資を行っていく必要がある。
標的型攻撃に対してはEPPは無力だが、EDRを導入し、プロアクティブにハンティングを行っているような組織であれば標的型攻撃への態勢が高いと考えられる。
※EPPは模倣型の標的型攻撃には対応できるが、ガチの標的型攻撃にはシグネチャが無いため、対応できない。
■UBAとUEBA
内部不正のリスクや可視化の対策ソリューションでよく出てくる。
・UBA:User Behavior Analytics(ユーザ行動分析)の略
・UEBA:User and Entity Behavior Analytics(ユーザとエンティティの行動分析)の略
違いは”Entity”の有無だけである。
【Entityの意味】
「通常」どのように行動するかを定義する行動の基準(ベースライン)を作成し、その基準から逸脱した異常を識別。
上記を踏まえ、改めて整理すると下記になる。
・UBA:ユーザ行動分析(ベースライン無し)
・UEBA:ユーザ行動分析(ベースラインあり)
UBAは、2014年にガートナーが造語した言葉。
この時は個人ユーザやユーザのグループの行動のみに対する分析が定義となっていた。
翌2015年に、ガートナーは「E」を追加し、UEBAに変更。
ここでは、ルータ、サーバ、エンドポイント、アプリケーションなどネットワーク上のユーザ以外のエンティティについても、基準となる行動を分析し、異常を検知する機能を備えることが定義となった。
結論:UBAは死語
■DX
Digital Transformationの略。
略称がDXとなるのは、英語圏では接頭辞「Trans」を省略する際にXと表記することが多いためとのこと。
ロサンゼルス国際空港(Los Angeles International Airport)のコードをLAXにしたり、関西国際空港(Kansai International Airport)のコードをKIXにするのと同じようなノリなのだろうか?
DXの発祥は2004年。
スウェーデン・ウメオ大学のエリック・ストルターマン教授がその概念を提唱。
曰く、「ITの浸透が、人々の生活をあらゆる面でより良い方向に変化させる」。
その後、14年の時を経て、2018年に経済産業省が企業向けに定義。
「企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること」
分かったような分からないような感じだが、DX前の世界と、DXの世界を比較すると、個人的には何となく分かってくる感じがする。
【DX前の世界:唯一の正解がある世界】
・効率化
・データベース
・トランザクション
・従来型
・ウォーターフォール、etc
【DXの世界:唯一の正解が無い世界(⇒知恵を振り絞って正解っぽい方向に向かう)】
・サービス
・SNS
・モバイル
・データアナリティクス
・クラウド
・セキュリティ
・アジャイル、etc
とあるセミナーを聞いてものすごく納得感が高かったのが、「DXは唯一の正解が無い世界」であるということ。
DX、DXって騒いでいるけど、なんだかんだ言いながら既にDXの世界にどっぷり浸かっているということが確認できた。