アジリティ重視のセキュリティ対策の弊害
初期のサイバー攻撃は“稚拙な攻撃者(スクリプトキディ)”と呼ばれるような愉快犯などが多かった。それが徐々に高度化し、近年では組織化された集団による組織犯罪としてのサイバー攻撃や、国家が支援する大規模な攻撃「APT」などが増え、被害額も増大している。
ここで狙われるのはクレジットカード情報や銀行口座など“お金になる情報”であり、ビットコインなどの新しい仕組みもすでに攻撃対象にも攻撃後の利益を確保するためにも使われている。攻撃者も個人から企業や組織へと変化し、これにより大規模な資金を使った活動も可能となったこともあり、セキュリティインシデント1件あたりの被害総額も数十億円規模へと拡大している。また金銭目的以外のサイバー攻撃の狙いも顕在化しており、米国大統領選挙にロシアの関わりが噂されるなど「政治的な意図」に基づく情報操作に対する備えが必要な時代になってきた。
これに対し一般企業のセキュリティ対策は『いかに攻撃を阻止するか』という「Resist(阻止) 」に重きが置かれる傾向にあるという。しかし、それによる弊害も生じているようだ。
藤井氏は「マーケットでは新しい製品やサービスが登場し続けているが、企業ではそれらを導入したことそのもので満足してしまう、あるいは次々と導入し続けることに疲弊してしまい、使いこなすことが十分にできていないのではないか」と警鐘を鳴らし、さらに「サイバー攻撃が境界の阻止だけで防げないことは昨今の事例からは明らかになってきていることを踏まえ、防ぎきれなかったものへの対策も求められる」と語る。
そのために必要となるのは、サイバー脅威の予見と発見を迅速に行なう「Sense(察知) 」と、何らかの事故が起きた場合の被害を最小化にする「React(対応)」をバランスよく強化することである。「Resist(阻止) 」「Sense(察知) 」「React(対応)」の3つの防衛策がそれぞれを補完し合うことで、より高いセキュリティ環境が実現するというわけだ。
近年、セキュリティ対策への要件として、「レジリエンス(復元力)」という言葉に代表される「インシデントから速やかに回復し事業を継続させること」が求められることが多い。しかし藤井氏は「実際の対策を見てみると、復元力よりも『アジリティ(機敏さ)』が重視されてきた」と指摘する。つまり、「新しい脅威に対してひたすら迅速に対応すること」が数十年来のセキュリティ対策として行われてきたことだったわけだ。
その結果の1つとして藤井氏は、2016年のグローバル情報セキュリティサーベイ(GISS)(関連リンク)による調査結果を示す。それによると、53%の組織が過去12か月でセキュリティ関連予算を増額しているものの、63%の組織は「セキュリティ機能が組織のニーズを満たしきれていない」と答えている。そこからは、次々と現れる脅威を調査し、対策を検討し、できる限りの予算を費やして強化をしているにも関わらず、実際には自社のセキュリティに対して自信を持ちきれていないという組織の苦悩が見えてくる。
組織がセキュリティを強化するとき、そこには3つのトリガーがあるという。まず1つは「法規制への対応」。個人情報保護法などへの準拠するための対応であり、抗うことはできないが、その対応範囲を最小限度に留めようとする。
2つ目は自社または同業者などに「実害が生じたとき」だという。この場合、計画的対応というよりも事象の再発防止という性格が強く、かつ短期間での対応完了が求められるため、同様にその対応範囲を最小限度に留めようとする。
そして3つ目が何らかの形で「他社が行なっているセキュリティ対策を知ったとき」だという。経営者同士の勉強会や懇談会などで気づきがあり、それがトップダウンで現場に降りてくるという状態だが、こちらも現場から見ると突発作業であり、やはりその対応範囲を最小限度に留めようとする。
しかし、藤井氏は「いずれにおいても包括的なプランに基づいて施策が考えられていない。それが“自信のなさ”の原因になっているのではないか」と分析する。
「SOCの進化と正しいSOC」の選び方
近年セキュリティに関連するトピックスとして目立つのが「デジタル化」「自動化」といったキーワードだ。クラウドやソーシャル、モバイル、ビッグデータ解析など、新しい仕組みや技術を用いることは大きなメリットがあるものの、同時にリスクも内包する。特にIoTが進めば、セキュリティとして監視すべき対象は膨大に増え、単にログを吐き出させて蓄積するだけでなく、それらを基に何が起きているのかを分析し、必要に応じた迅速な対応を行なうことが限られた体制、予算の中で求められるようになる。
そうした概観を踏まえた上で、実際のセキュリティ運用についての調査結果を見てみると、既出のGISSによる調査によれば、サイバー攻撃の検出・通知を専門で行なう「セキュリティオペレーションセンター(SOC)」が導入されていない企業は44%に上り、56%の導入している企業においてもSOCが基本的なセキュリティ運用の要求に応えられていないと回答している。
藤井氏も「確かに自社を振り返ってもセキュリティの専門家を確保することは難しい。加えてセキュリティとシステム、特にネットワークとの運用の線引きが曖昧で、たとえばセキュリティ運用と言いつつ、ネットワーク機器の故障といった機器交換レベルの対応やインシデントのアラートをクライアントに通報するのみの対応しかできず、セキュリティインシデントの原因、影響やその背景などの詳細分析までの対応がないがしろにされてしまっている実状もある」と語る。
つまり、セキュリティ運用の体制が整っていない、あるいは整えたつもりが十分ではないという認識があり、それがセキュリティ対策の不安を払しょくできていないことにつながっていることが伺える。
セキュリティ運用の担い手として期待される「SOC」について、藤井氏はニーズに呼応して3段階で進化してきたと解説する。
第一世代ではネットワーク境界のファイアウォールやIDS/IPSといったログのみを監視、言わば凝視することで、組織外部との「入口と出口」の監視を行なってきた。「内部は信頼のおける仲間であり、外からの悪意ある侵入者のみを防ぐ」というシンプルな考え方に基づいている。しかしながら、昨今の内部不正や、正規ルートでのアクセスによる不正などが増えていることを鑑みても、想定が現実的でなく、対応としては不十分であることは明らかだ。
一歩進化した第二世代では、ログ分析ツール「SIEM」を用いて基本的な分析を行ない、ネットワークを含めた複合的な不正の兆候を監視するようになった。しかし、多くの場合SIEMそのものの運用が非常に難しく、適切なチューニングが行なわれぬまま、実質的に設置されただけのままとなっていることも少なくない。多くのシステムがそうであるように運用の中で継続的な改善を行うための予算確保、そのための技術者の確保も課題となっている。
そうした問題を解決し、セキュリティ運用を効率化するために進化してきたのが、「サイバーアナリティクスSOC」と呼ばれる第3世代のものだ。ここ1年ほどで多くのITカンファレンスでも紹介されているように、AIや機械学習などを用いて効率的にセキュリティ運用を実現しようとしているソリューションを備える。
セキュリティ人材の確保やIoTなどによる監視範囲の増大などは世界共通の課題であり、データサイエンスを活用し、予兆検知、Threat Huntingにより早期対処を促す仕組みが登場してきたのは自然な流れと言えるだろう。さらに単に攻撃を識別するということに留まらず、将来的には攻撃予兆の検知なども可能となり、事故を未然に防ぐものとしても期待されている。
しかしながら藤井氏は「守る側が継続的に投資・対策を続けているにもかかわらず、攻撃する側もその複雑性や洗練度を上げているため、今後もサイバーセキュリティリスクは減ることがない。何が起きているのかを正しく見る仕組みを作らない限り、不安は解消しない」と可視化の重要性を強調する。
EYの「Cyber as a Service (CaaS) 」の有用性
このようなあらゆるステージのセキュリティ運用の状況を一気にレベルアップするソリューションとして、藤井氏はEYの「Cyber as a Service (CaaS) Framework 」を紹介する。ソリューションとしてはビッグデータ解析や機械学習などを用いた第三世代のSOCに位置づけられるが、ネットワークの境界のみならず、特にエンドポイントの可視化にもフォーカスし、システム全体の状態把握を実現するというものだ。さらに「as a Service」としての提供について、藤井氏は「事業環境が変わるなかで守るべきものの価値も変わる。必要に応じて、守るための投資の増減が可能になることが望ましい」と説明する。
確かに代表されるクラウドサービスのように、ビジネスの変化によって必要な分を柔軟に使用するという考え方は、今後セキュリティ運用においても求められるだろう。「一部はこうしたas a Serviceを活用し、一部は自社で持ち、それでも足りない部分についてはセキュリティ保険に加入するなどを組み合わせ、トータルのリスクに対するコントロールを設計することが求められる時代になるのでは」と藤井氏は解説する。
CaaSは、特にエンドポイントにフォーカスしているとしながらも、組み込まれている各機能は決して目新しいものではない。しかし、その単体の機能を包括的にパッケージ化してサービスとして提供可能であること、さらには必要に応じてその組み合わせを柔軟に選択できる点において、既存の固定的なセキュリティ運用サービスとは大きく異なるというわけだ。
CaaSのサービスは大きく4つに分類できる。まず「Data Protection」についてはDLPやデータ分類などが該当する。「監査に強い会社」としてのブランドも持つEYだけに、「何を守るのか」の明確化を実現する機能は、セキュリティ設計において特に期待される機能だという。そして多くの人が「セキュリティ運用」をイメージしやすい機能として、「Threat Detection and Response」がある。検知して防御する部分で言えばセキュリティイベントのモニタリングやトラフィックの分析によりセキュリティ状況を把握し、問題を見つけ出すための機能も充実している。
「脆弱性スキャンといった定期的な状態把握のための機能も用意されており、アセットの検出とそのアセットに対するテストも行なう。こうした現状把握ができて初めて十分なセキュリティ対策が可能になる。近年話題になっている脅威モデルも、実態を正しく理解したうえでモデルの議論を進めない限りは、どのような対策をとるべきか曖昧なままであることは明白」と藤井氏は説明する。
さらにエンドポイントセキュリティについては、「アンチウイルスソフトや監視ツールを複数、必要の都度入れることが現実的かといえば否だろう。技術的な観点からいえば、複数入ることによりリソースが競合するなど、果たして正しく動作するのかの疑問も残る」と指摘する。そうなれば場当たり的な対策ではなく「どこにどのような脅威があり、どのような対策を何で実現するべきか」という議論に基づくアーキテクチャの設計が不可欠となり、その結果を可視化するモデリングが重要となる。そうしたトータルな支援も含めてCaaSでは提供可能だという。
ソリューションコストだけではなく、人的リソースの適正化が重要
前述したようにこれらの機能は既存のセキュリティ施策と大きく変わるものではない。しかしながら、ワンストップで有機的にパッケージ化された状態で提供されること、それらを必要に応じて柔軟に取捨選択できること、最新ながら効果的な対策を常にサービスとして利用できることがCaaSの強みである。特にグローバルでのサービス提供実績を踏まえ、継続的な検証により安全性を確かめたうえで提供するサービスのアップデートは「最新かつ堅実なセキュリティサービスの活用」に役立つであろう。
「どうしても最新技術が登場すると技術者としてはそちらに目がいってしまう。確かに新しい脅威に対して迅速に対応していく必要はあるが、それは新しい技術を導入することとは必ずしも一致しない。むしろ新しい技術の導入自体が目的となってしまい、結果として『コストを掛けているにもかかわらずセキュリティは穴だらけ/無駄だらけ』という状況に陥ってしまう。
そうならないためにも企業独自の脅威、限られた人材の工数をリスクの識別に配分できるよう、ソリューションの最新化や最適化といった経験、規模のボリュームが有利に働く領域の工数配分先の選択肢の一つとしてCaaSを役立てていただきたい」と藤井氏はその実用性を強調する。
それを実現する具体例として、藤井氏は「Path Scanによる異常検知」の仕組みを紹介した。多く場合、端末とサーバはN:Nの環境にあり、複雑な通信が行なわれる中で「正常・異常な振る舞い」を見定めることは難しい。そこで「正常な振る舞いのモデル化」「エミュレーションによる異常特定」「監視と攻撃の見極め」という3ステップで異常検知する仕組みを紹介した。
最終的にCaaSが目指すセキュリティのあり方について、藤井氏は「適正化」をあげる。「セキュリティにお金を掛けてほしいということではない。自社のリスクの所在とその大きさを理解し、それをコントロールするために適正なコストをかけていることが大切だ。そのためにはソリューションコストのみならず、人的リソースにかかるコストの適正化も重要となる」と語る。
その上で、「あの会社はセキュリティがしっかりしている」という評価は、激しい事業環境の変化に直面している多くの企業が、最終的な製品・サービスのクライアントからの信頼を勝ち得るだけでなく、社外との連携による価値ある事業の開発・展開を確実に推進することにも寄与していくことになる。
「組織として、どこまでが許容できないリスクなのかを把握・理解し、許容できるようにするために必要な対策のどれをどこまで自分たちでやるのか、残り部分をアウトソーシングの活用や場合によってはサイバーセキュリティ保険を活用することで許容できるリスクに抑え込むかをデザインしていくことが重要。その際、少しでも皆様のセキュリティ運用の負荷軽減と品質確保にCaaSを活用いただくことで、安心・安全なビジネスの展開をご支援することができれば幸い」と語り、セッションの結びとした。