EYの「Cyber as a Service (CaaS) 」の有用性
このようなあらゆるステージのセキュリティ運用の状況を一気にレベルアップするソリューションとして、藤井氏はEYの「Cyber as a Service (CaaS) Framework 」を紹介する。ソリューションとしてはビッグデータ解析や機械学習などを用いた第三世代のSOCに位置づけられるが、ネットワークの境界のみならず、特にエンドポイントの可視化にもフォーカスし、システム全体の状態把握を実現するというものだ。さらに「as a Service」としての提供について、藤井氏は「事業環境が変わるなかで守るべきものの価値も変わる。必要に応じて、守るための投資の増減が可能になることが望ましい」と説明する。
確かに代表されるクラウドサービスのように、ビジネスの変化によって必要な分を柔軟に使用するという考え方は、今後セキュリティ運用においても求められるだろう。「一部はこうしたas a Serviceを活用し、一部は自社で持ち、それでも足りない部分についてはセキュリティ保険に加入するなどを組み合わせ、トータルのリスクに対するコントロールを設計することが求められる時代になるのでは」と藤井氏は解説する。
CaaSは、特にエンドポイントにフォーカスしているとしながらも、組み込まれている各機能は決して目新しいものではない。しかし、その単体の機能を包括的にパッケージ化してサービスとして提供可能であること、さらには必要に応じてその組み合わせを柔軟に選択できる点において、既存の固定的なセキュリティ運用サービスとは大きく異なるというわけだ。
CaaSのサービスは大きく4つに分類できる。まず「Data Protection」についてはDLPやデータ分類などが該当する。「監査に強い会社」としてのブランドも持つEYだけに、「何を守るのか」の明確化を実現する機能は、セキュリティ設計において特に期待される機能だという。そして多くの人が「セキュリティ運用」をイメージしやすい機能として、「Threat Detection and Response」がある。検知して防御する部分で言えばセキュリティイベントのモニタリングやトラフィックの分析によりセキュリティ状況を把握し、問題を見つけ出すための機能も充実している。
「脆弱性スキャンといった定期的な状態把握のための機能も用意されており、アセットの検出とそのアセットに対するテストも行なう。こうした現状把握ができて初めて十分なセキュリティ対策が可能になる。近年話題になっている脅威モデルも、実態を正しく理解したうえでモデルの議論を進めない限りは、どのような対策をとるべきか曖昧なままであることは明白」と藤井氏は説明する。
出所:EYアドバイザリー・アンド・コンサルティング 藤井仁志氏、
Security Online Day 2017(主催:翔泳社)講演資料より
さらにエンドポイントセキュリティについては、「アンチウイルスソフトや監視ツールを複数、必要の都度入れることが現実的かといえば否だろう。技術的な観点からいえば、複数入ることによりリソースが競合するなど、果たして正しく動作するのかの疑問も残る」と指摘する。そうなれば場当たり的な対策ではなく「どこにどのような脅威があり、どのような対策を何で実現するべきか」という議論に基づくアーキテクチャの設計が不可欠となり、その結果を可視化するモデリングが重要となる。そうしたトータルな支援も含めてCaaSでは提供可能だという。
ソリューションコストだけではなく、人的リソースの適正化が重要
前述したようにこれらの機能は既存のセキュリティ施策と大きく変わるものではない。しかしながら、ワンストップで有機的にパッケージ化された状態で提供されること、それらを必要に応じて柔軟に取捨選択できること、最新ながら効果的な対策を常にサービスとして利用できることがCaaSの強みである。特にグローバルでのサービス提供実績を踏まえ、継続的な検証により安全性を確かめたうえで提供するサービスのアップデートは「最新かつ堅実なセキュリティサービスの活用」に役立つであろう。
「どうしても最新技術が登場すると技術者としてはそちらに目がいってしまう。確かに新しい脅威に対して迅速に対応していく必要はあるが、それは新しい技術を導入することとは必ずしも一致しない。むしろ新しい技術の導入自体が目的となってしまい、結果として『コストを掛けているにもかかわらずセキュリティは穴だらけ/無駄だらけ』という状況に陥ってしまう。
そうならないためにも企業独自の脅威、限られた人材の工数をリスクの識別に配分できるよう、ソリューションの最新化や最適化といった経験、規模のボリュームが有利に働く領域の工数配分先の選択肢の一つとしてCaaSを役立てていただきたい」と藤井氏はその実用性を強調する。
それを実現する具体例として、藤井氏は「Path Scanによる異常検知」の仕組みを紹介した。多く場合、端末とサーバはN:Nの環境にあり、複雑な通信が行なわれる中で「正常・異常な振る舞い」を見定めることは難しい。そこで「正常な振る舞いのモデル化」「エミュレーションによる異常特定」「監視と攻撃の見極め」という3ステップで異常検知する仕組みを紹介した。
最終的にCaaSが目指すセキュリティのあり方について、藤井氏は「適正化」をあげる。「セキュリティにお金を掛けてほしいということではない。自社のリスクの所在とその大きさを理解し、それをコントロールするために適正なコストをかけていることが大切だ。そのためにはソリューションコストのみならず、人的リソースにかかるコストの適正化も重要となる」と語る。
その上で、「あの会社はセキュリティがしっかりしている」という評価は、激しい事業環境の変化に直面している多くの企業が、最終的な製品・サービスのクライアントからの信頼を勝ち得るだけでなく、社外との連携による価値ある事業の開発・展開を確実に推進することにも寄与していくことになる。
「組織として、どこまでが許容できないリスクなのかを把握・理解し、許容できるようにするために必要な対策のどれをどこまで自分たちでやるのか、残り部分をアウトソーシングの活用や場合によってはサイバーセキュリティ保険を活用することで許容できるリスクに抑え込むかをデザインしていくことが重要。その際、少しでも皆様のセキュリティ運用の負荷軽減と品質確保にCaaSを活用いただくことで、安心・安全なビジネスの展開をご支援することができれば幸い」と語り、セッションの結びとした。
