マルチベンダーが今も有効？～セキュリティのコンソリデーションのすゝめ～

ベスト・オブ・ブリード（マルチベンダー）からの脱却

システムを構築する際などに、「ベスト・オブ・ブリード（最善の組み合わせ)」というアプローチがあります。様々なベンダーの製品の中で、各分野で最適な製品やソフトウェアを選択し、それらを組み合わせてシステム構築を行うことを指し、マルチベンダーポリシーとも呼ばれます。このアプローチのメリットには、高い柔軟性や入れ替えのしやすさ、リスク分散などが挙げられます。セキュリティのツールにおいて採用している企業も多いでしょう。このように、ひとつひとつのセキュリティソリューションの積み重ねがサイバー防衛上重要である、という考え方は以前から存在していました。

一見メリットが多く安心感もあるアプローチですが、驚異的な速度で進化を遂げているDX（デジタルトランスフォーメーション）に対応しなければいけない現在、最適とは限りません。今日の法人組織は、複雑なスタック、疲労困憊するSOCチーム、そして、増大するサイバーリスクなどのため重い負担を強いられています。また、複数のベンダーが提供する多種多様なツールの導入に伴い、新たな課題（情報のサイロ化、技術格差、可視性の確保等）も抱えています。

さらには、昨今の生成AIを含む技術の進化は、業務効率化などのメリットをもたらすのと同時に、新たなサイバー脅威を生み出すという負の側面も持ち合わせています。新たな脅威に対応する追加のセキュリティ対策が求められるため、法人組織はさらなる負担に直面することになります。

このような状況においては、サイバーセキュリティに対する新たなアプローチが必要になってきます。それは、セキュリティソリューションの集約化や合理化、たとえるならば「セキュリティソリューションの整理」と言うこともできるでしょう。

ソリューションの整理、「コンソリデーション」のすゝめ

コンソリデーションとは、複数のコンピュータ、サーバ、アプリケーションなどを整理統合し、機能や利便性などを損ねることなく、システムの運用管理に必要なコストや負担を削減することです。とはいえ、サイバーセキュリティにおいては、単一のベンダーですべてのセキュリティ要件を満たすことは不可能です。また、セキュリティのコンソリデーションにおいても、多層防御および防御の多様性は重要です。すべてのセキュリティソリューションを単一のベンダーに集中させることを推奨しているわけではないのです。

混乱を最小限に抑え、柔軟にコンソリデーションを進めるには、①「セキュリティ環境を段階的に簡素化するアプローチ」と、②「サードパーティ製品の統合が可能なプラットフォーム」が二つの重要なカギとなります。

参考記事：XDR評価のための基礎知識―「ハイブリッドXDR」を選ぶ理由

①「セキュリティ環境を段階的に簡素化するアプローチ」

SOC(Security Operation Center)の立場から、既存のセキュリティソリューションの棚卸を行い、日常業務を検証しましょう。ツールのスプロール化^※から生じた様々な問題が見えてくる場合もあります。アタックサーフェスの一元管理に課題を抱えているSOCチームも多いでしょう。それはたとえば、複数のダッシュボードを切り替えて状況を把握しようと苦心しながら、関連性のない大量のアラート処理に追われている、などの課題です。これでは、時間をロスするだけでなく、重大な脆弱性を見落とすリスクも高まります。
適切な検証を実施することで、脆弱なアセット、運用上の課題、既存のセキュリティソリューションの必要性を再確認できます。これにより、優先順位づけとソリューション整理への道筋が整います。
※もとは都市開発分野の用語でスプロール現象とも呼ばれます。都市が急速に発展し、都心部から外縁に向かってと無秩序・無計画に市街地開発が不規則に広がる現象を指します。ITにおいては、IT資産が安易に導入されるなどして無秩序に増加することを指します。

②「サードパーティ製品の統合が可能なプラットフォーム」

既存のセキュリティソリューションには、簡単に廃止することができないものもあります。それらを活かしてコンソリデーションを進めるには、サードパーティのソリューションやサービスを統合できる、中核となるようなセキュリティプラットフォームが不可欠です。
セキュリティプラットフォームでは、セキュリティ環境全体をリアルタイムに可視化することで、脅威を迅速に特定し、対応をとることが可能になります。さらに、オートメーション機能の実行により、SOCチームは効率的かつ正確にインシデントを監視、解析することができます。

今日のAI搭載のXDRプラットフォームでは、不正活動全体をプロファイル解析することでセキュリティリスクを軽減します。このプラットフォームの導入により、エンドポイント、ネットワーク、クラウド、OTおよびIT環境にわたる脅威の調査、検知、対応が大幅に改善されます。さらに、このプラットフォームは、セキュリティ担当者の技術レベルに応じた運用が可能です。サイバーセキュリティ人材不足の課題に直面している企業が多い点を考慮すると、リソース不足解消のためにこのようなプラットフォームを有効活用することは大きなアドバンテージとなります。

参考記事：セキュリティエンジニア８人分の価値を発揮！？「XDR」のコストメリット

プラットフォームベースのサイバーセキュリティ

上述のように、従来のサイバーセキュリティにおいては、個々の脅威に対して個別のソリューションをもって対応することが一般的でした。その結果、別々のセキュリティソリューションからの別々の検知ログを、SOCチームやセキュリティ担当者が収集・分析する必要が出てきました。
新たに報告された脅威に対応するために、新たな製品を導入する。また、複数製品で大量に発生するアラートの処理や、トラブルシューティングに追われる。これは「モグラたたき」にもたとえられます。しかし、モグラは叩いても叩いても顔を出します。次々に出現する新手の脅威、増加する組織のITアセット、激増するアラート数、サイロ化する情報、その中でモグラたたきのようなリアクティブな対応では、チームが疲弊するだけでなくカオスに陥り、結果としてサイバーリスクが高まる恐れがあります。

大量のログを統合し、守るべきすべてのアセットを把握し、プロアクティブな（先手を打つ、能動的な）セキュリティ体制の構築が必要 ― 。そのようなニーズに応えるのがプラットフォームです。
サイバーセキュリティプラットフォームでは、各ソリューションのログを収集・一元化して全体を把握できるようにすることで運用工数を削減し、そのうえ、拡大し続ける組織のアセットを継続的に可視化する、つまりアタックサーフェスマネジメント（Attack Surface Management：ASM）も可能にします。
トレンドマイクロのセキュリティプラットフォーム「Trend Vision One」ではさらに、アタックサーフェスリスクマネジメント（Attack Surface Risk Management：ASRM）により、アタックサーフェスの可視化に加えてそれぞれのリスク評価とそれに応じた優先順位づけも実施できます。これにより、組織は優先して対応すべきアセットのリスク軽減に注力でき、プロアクティブに防御態勢を強化することが可能になります。

なお、セキュリティに影響を及ぼす組織の文化、つまり思考、習慣、行動なども同時に改善することが大切です。サイバー脅威の急速な進化に対抗するために、企業や組織はセキュリティ戦略で先手を打つ必要があります。本稿で解説したプロセスを用いて最新のツールと戦略的思考を融合させることにより、優れたサイバーレジリエンスを維持するために必要な俊敏性と能力を実現することができます。

本記事は2024年4月12日にUSで公開された記事「Cybersecurity Decluttered: A Journey to Consolidation」の抄訳です。

＜関連記事＞
・サイバーセキュリティプラットフォームとは？～セキュリティ投資を抜本的に変える転換点に～
・高度なサイバー攻撃の対抗策のカギとなる「XDR」。今求められる3要素とは？
・SANSの調査に見るセキュリティチーム(SOC)をめぐる4つの課題とは？
・サイバーセキュリティ専門企業のサイバーセキュリティ戦略とは？（SOC/CSIRT体制編)