よくある売り文句のアンチパターンを紹介する
そんなわけはない
- 「異常な振る舞いを検出します」→ 「異常」とは?
- そもそも「通常」とは何か?
- 対応の視点から考えると、むしろコストが上がる
- リスク評価する際に「なぜ検知されたのか?」がわからないと、それが危険なのかどうか判断できない
- ルールなどで決定性のある検知の方が判定は楽
可視化で検出する話
- 本当に一目でわかることなら機械に検出させるべき
- 目的を持った検索では可視化は有効
塩漬けになる
- セキュリティ監視は複数のサービスやプロダクトを統合して構築せざるを得ない
- 設置しただけの機器は分断される
- もちろん、あとからちゃんと統合するのであれば問題はない
- 対象機器・サービスごとにログインして見に行くというような作業は非常に億劫