サイバーセキュリティプラットフォームとは?~セキュリティ投資を抜本的に変える転換点に~
「サイバーセキュリティはモグラたたきのようなもので終わりがない」。個々のセキュリティ対策の歴史を語る際にこうしたキーワードは良く出ますが、「サイバーセキュリティプラットフォーム」がそれを解決する糸口になるかもしれません。
現在の組織を取り巻くサイバーセキュリティの課題とは?
すでに本メディア以外に多くのセキュリティ関連メディアで語られていますが、組織のサイバーセキュリティを取り巻く課題は、以下に集約されると言えるでしょう
●検知がますます難しくなる脅威(Stealth):
サイバー攻撃者の高度化・複雑化により従来型の事前の予防策だけでは攻撃の検知が難しくなっています。かつ攻撃の高速化している「検知の難しい攻撃をいかに迅速に検知・対応するのか」という課題です。
●持続可能なセキュリティ運用を妨げる量的な負荷(Sustainability):
セキュリティ対策側で負荷となる、処理しなければならないセキュリティ関連のログデータ量や運用するセキュリティツール群の数が増加しています。「増加が目に見えているセキュリティ関連の負荷に対して、運用効率をどう上げるのか」という課題です。
●絶望的に足りないセキュリティ対策のためのリソース(Shortage):
日本国内ではセキュリティ対策側の人的リソースが不足していると言われて久しいですが、その状況が抜本的に解決する状況はすぐには訪れないでしょう。「負荷」が目に見えて増加していることに対し、「運用する人的リソースは増えない上に、今いる人材には負荷がかかり続けている状況に対して、どう負荷を下げるのか」という課題です。
細かい技術的課題や攻撃手法・脆弱性の話題など、挙げればきりがありませんが、多くのテーマはこれらの課題に集約されます。これらの課題を総称して「3つのS」と呼んで、詳細とその解決策のアプローチを以下の記事で解説しています。ぜひご覧ください。
ここでは、特に「持続可能なセキュリティ運用を妨げる量的な負荷(Sustainability)」について触れてみます。
それぞれの脅威に対して、個別にセキュリティソリューションを導入した結果、各メーカ別のセキュリティソリューションから上がるそれぞれ別の検知ログを、SOCチームやセキュリティ担当者は収集・分析する必要性が出てきました。まさしく冒頭のイメージ画像にある通り「モグラたたき(whack-a-mole)」の様相を呈していますが、その結果、会社全体のセキュリティリスクの把握がしづらい状況になっているのが現状です。これはセキュリティインフラだけでなく、ITインフラ全体にも言えるかもしれません。
参考記事:高度なサイバー攻撃の対抗策のカギとなる「XDR」。今求められる3要素とは?
以下は、架空の組織のCISOの悩みを2分程度の動画にしたものです。ぜひご覧ください。
「把握できていないもの」をどうやって守り、そのリスクを経営陣にどう説明するのか―。脆弱性や設定ミスなど様々な情報が入り組み、もはやカオスだ―。
最も効果的なアクションに気づければきっと役に立つのに―。
ドラマ仕立てのため少し誇張された面はあるかもしれませんが、同様の悩みはお持ちなのではないでしょうか?特に前任者から、現在のIT・セキュリティ環境を引き継がれたお立場の方は、頷かれる部分も多かったのではないかと思います。
こうしたセキュリティ課題に対する「モグラたたき(whack-a-mole)」とその弊害から脱却するには、先に触れた課題「3つのS」に対して、次項で紹介する4つのアプローチが有効です。
それぞれ簡単にまとめると以下になります。詳しくは先の「3つのS」の記事を参照ください。
①データの統合:
多様かつ大量のログデータを統合し、サイバー攻撃の全体像を可視化する。
②脅威インテリジェンス駆動型の検知と対応:
統合したログデータを、サイバー攻撃に関する知見を活用し高度かつ高精度の相関分析を行う。これにより見えづらいサイバー攻撃の予兆をいち早く検知する。
③”Best-of-Breed”から”Best-of-Platform”への転換:
現代の脅威に継続的に対抗するために、「点の防御力」だけではなく「面の総合力」を重視する。
④プロフェッショナルサービスの検討:
自社が優先して取り組むべき範囲を見極めたうえで、外部の支援も合わせてセキュリティ体制を構築する。
どれも重要なアプローチですが、ここでは本題の③の「プラットフォーム」について取り上げます。
ITシステム導入のアプローチの1つに「Best-of-Breed(ベストオブブリード)」があります。一般的にはITシステムを構築する際に、各領域で最も良いと評価したハードウェアやソフトウェアを採用し、その組み合わせでシステム構築を行う方法のことです。ITの一分野であるセキュリティにおいては、エンドポイント、メール、ネットワーク、クラウドなど「●●セキュリティ」と名の付く分野で各々の強みを持ったセキュリティソリューションを採用し全体の防御力を高めようという方法と言えます(反対語として、スイート(統合製品)という言葉が、一般的に使用されてきました)。
しかし、採用した時点での「ベスト」は、サイバー攻撃手法の悪質化や巧妙化、ITインフラの変化、従業員や顧客のニーズ変容によって容易に変わります。近年はこの変化の頻度が激しく、特にサイバーセキュリティにおいてはサイバー攻撃者の攻撃手法の変化が殊に顕著です。状況が変わるたびにその時点での「ベストなソリューション」を検討・評価するという方法では、サイバー攻撃者との防御側の差を縮めることは難しくなってしまう上に、セキュリティ投資の額も増大してしまうでしょう(結果的にサイバーリスクが増大していく恐れもあります)。
そこで新たに出てきたのが、サイバーセキュリティに関する情報を統合し、自組織のサイバーリスクの可視化などでセキュリティ担当者の判断を助け、インシデントの検知や対応の自動化も行えるような「自組織のサイバーセキュリティの要」となるような存在の「サイバーセキュリティプラットフォーム」をどのように採用するか?という考え方です(Best-of-Platform)。
サイバーセキュリティプラットフォームのメリットとは?
「サイバーセキュリティプラットフォーム」は、従来のスイート製品の考え方とは異なります。製品のベンダーを統一し、製品サポートの一元化や導入・運用の効率化を行うというのがセキュティ分野におけるスイート製品の考え方ですが、これらに加えて、以下のようなメリットもあります。
●各セキュリティソリューションのログを収集・一元化して、全体を把握することができるため運用工数の削減につながる。
●同一のセキュリティベンダーの脅威に関する最新の知見を用いて収集した情報を相関分析し、リスクの可視化やサイバー攻撃の予兆をいち早く捉えることができる。
●SaaS方式の機能拡張により、XDRにおける脅威の検知ルールやセンサー範囲の拡大、アタックサーフェス(攻撃対象領域)のリスク管理機能(ASRM)などがアップデートされ、それらの機能が連携するため、状況に応じたセキュリティレベルの向上が容易にできる。
機能拡張の面においては、生成AI技術を活用した運用支援機能が追加されるなど、脅威の検知やリスク削減というセキュリティ機能そのもの以外の機能も随時追加されます。Best-of-Breedのアプローチで行っていたような「それぞれ個別に導入したソリューションの状況の把握が必要」、「状況が変わると、ソリューションの入れ替えや追加が必要となる」といった状況は改善されるでしょう。
実際に、著名な調査会社であるGartnerが2023年4月に発表している「2023年のサイバーセキュリティのトップ・トレンド」でも、サイバーセキュリティプラットフォームの集約はトレンドの1つして挙げられています※1。サイバーセキュリティといっても幅広いため、今すぐすべてを1つの企業のモノに、とはならなそうですが、同様のセキュリティ機能の集約化やベンダー一元化は今後検討していくべき事項と言えるでしょう。
※1 Gartner「Gartner、2023年のサイバーセキュリティのトップ・トレンドを発表」(2023年4月20日)
サイバーセキュリティプラットフォームの選定という観点で今後セキュリティ対策を考える際に、この記事がご参考になれば幸いです。さらに詳しい情報は以下のウェビナー動画を参照ください。
ウェビナー動画はこちら
Security GO新着記事
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)
VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
(2024年11月1日)