セキュリティ成果を高めるには
既存のデータの価値を最大限に引き出す
重要なことは、すべてのデータを収集するのではなく、必要なデータを収集し、サイバーセキュリティの効果を める適切な人材、プロセス、技術を採用することです。
近年、多様なデバイス、ログ、サービスから収集されるトラフィック データとアプリ ケーション テレメトリ データの量は、企業の規模に関係なく増加しています。デー タの多くは経営判断や戦略的な意思決定の根拠として利用されますが、同じデータを 活用して企業のセキュリティ体制を大幅に強化できる可能性があります。ただし、そ れには効果的な処理と利用が欠かせません。
サイバーセキュリティを強化すると、組織内で発生している事を収集・理解できます。ログ ファイル、システム イベント、ネットワーク トラフィック、アプリケーション、脅威検出システム、インテリジェンス フィード、そ の他から出ています。ところが、データの量が膨大であるため収集したデータから価値を引き出して、セキュリ ティ ポリシー、脅威検出、リスク軽減に利用しようとすると、大きな課題となります。
利用中のシステムがデータを適切に処理する機能を持たない場合、データから意味のある情報を引き出して、発 生中の事象を関連付けることはできません。これでは、無駄な情報を所有しているのと変わりません。こうした 課題に拍車をかける要素として、収集したデータの保管方法が原因でデータがサイロ化し、セキュリティ専門家 がデータの相関を分析して潜在的な問題を明らかにする作業の妨げになる可能性があります。アナリストが手動 で相関を分析し、多数の画面を確認する状況は避けたいものです。無駄な時間と労力がかかり、実際に脅威を特 定するという本来の目的から逸脱します。
サイバーセキュリティは一業界としてあまりに多くのポイント ソリューションが出回る環境を作り出して、企業 は多種多様なソリューションを繋ぎ合わせる配管工のような状況に陥ることを事実上強いられています。セキュ リティ業界は自動化と統合を重視した手法を考慮する時期に来ています。ユーザーが利用しているツールの多く は、相互運用や連携をまったく考慮していない設計だからです。
自動化とプレイブックによってデータの価値を最大限に引き出す
適切なデータを収集し、データの価値を最大限に引き出すプロセスは、1 つのタスクや作業ではなく、複数の要 素が関わる長期的な取り組みです。
テクノロジ : テクノロジの観点から、実際にできることを確認しましょう。最初の疑問は「ツールは最新の脅威 を本当に検出できるか」です。できない場合は、情報に基づく意思決定の実行に必要なログとテレメトリをまっ たく収集できていない可能性があるため、課題を抱えていることになります。
データからより多くの価値を引き出す上でも、自動化は重要な役割を果たします。収集されるデータの量を考え ると、すべてが適切なデータの場合も、人間の力では処理が追いつきません。単純なログ データの相関付けとエ ンリッチ化を行い詳細な情報を提供するデータから、価値の高いインシデントを特定する作業を自動化すること は重要な要素です。
人材 : データの価値を最大限に引き出すことへの従業員の意識に、自動化は直接関係します。多くの場合、企業 のセキュリティ オペレーション センター (SOC) には 8 時間交代で働く IT 専門家が常駐しているものの、画面を 更新してログを追うのみです。これでは検出にあまり役に立ちません。
しかも、最前線でデータの防御と分析を担当しているのは、経験の浅い人が多く、無数のログを取捨選択してエ スカレーションが必要なものを判断する単調な作業の結果、1 年で辞めることもあります。これは妥当でしょう か ? 上位者にエスカレーションするインシデントを実際に判断しているのは、最も経験が浅く給与の低い従業員 です。当然、筋が通りませんから、モデルを変える必要があるのです。
膨大なデータの処理に自動化を活用すれば、エスカレーションの要否についての最前線での判断を自動化して、 脅威ハンティングといったより困難な課題に人材を集中できます。単純にアラートと大量のログを選別するので はなく、ばらばらのデータ ソースをすべて結びつけて潜在的なリスクの発見に貢献する脅威ハンティング。その 担当者の業務は楽であるに越したことはありません。
プロセス :最後に、継続的な改善を行ってデータの価値を常に最適化する鍵はプロセスです。絶えず計画段階に 戻り、導入済みのデータとテクノロジに磨きをかけ続けなければなりません。また、自動化の促進に役立つプレ イブックの作成を続ける必要があります。どんなタスクでも繰り返せるものは可能な限り自動化すべきです。
現代企業が利用可能なセキュリティ データ ソースの量を考えると、何をすべきか不明確になりがちですが、企業 が保有しているセキュリティ データ ソースを把握してから、自動化とプレイブックによってプロセスを合理化 し、統合ビューを生み出すテクノロジを用いてデータを結びつけることで、セキュリティの有効性を大幅に改善 できます。