ガートナーのリサーチ バイス プレジデント 兼 最上級アナリストでガートナー名誉フェローのニール・マクドナルド氏は、「情報セキュリティ部門と情報セキュリティのインフラには、新たに出現しつつあるデジタル・ビジネスの要件のサポートへの適応性とともに、ますます高度化している脅威に対応するための適応性も不可欠です。セキュリティおよびリスク管理のリーダーは、効果的なセキュリティおよびリスク管理のプログラムを策定、実行、維持し、デジタル・ビジネスのチャンスを実現させながらリスクを管理していくために、最新のテクノロジ・トレンドに全力で取り組まなければなりません」と述べている。
情報セキュリティ・テクノロジのトップ10は次のとおり。
■クラウド・アクセス・セキュリティ・ブローカ(CASB:Cloud Access Security Brokers)
CASBは、複数のクラウド・プロバイダーの環境を介して、安全かつコンプライアンスに適合した環境で、クラウド・サービスを活用するために欠かせないコントロール・ポイントを情報セキュリティ担当者に提供する。多くのSaaSアプリケーションでは、可視性とコントロールのオプションに限りがあるが、SaaSを導入する企業がますます増えるにつれて、可視性とコントロールを求めるセキュリティ部門の不満が高まっている。
個々のクラウド・サービス間に存在する多くのギャップを埋めるCASBソリューションによって、最高情報セキュリティ責任者(CISO)は、IaaSプロバイダーやPaaSプロバイダーを含め、成長中のクラウド・サービス環境全体を通じて、このようなギャップを埋めていくことができる。CASBは、企業が利用するエンタプライズ・クラウド・サービス全体を通じて、ポリシーの設定や挙動モニタリング、リスクの管理といったCISOにとって最も重要なニーズを満たす。
■エンドポイントの検知/対応(EDR:Endpoint Detection and Response)
より効果的なエンドポイント保護の実現および、潜在的な不正アクセスの検知と迅速な対応への必要性の高まりを背景に、EDRソリューションの市場は急速に規模を拡大している。通常、EDRツールは膨大な数のエンドポイント・イベントとネットワーク・イベントを記録し、これらの情報をエンドポイントでローカルに格納するか、一元化されたデータベースに格納する。
次に、既知の侵入痕跡(IOC:Indicators of Compromise)のデータベースや挙動分析、機械学習などを活用することで、内部ユーザーからの脅威を含む不正アクセスの兆候を早期に示すデータを継続的にチェックし、これらの攻撃に迅速に対応する。
■エンドポイントのセキュリティ保護に対するノンシグネチャ型アプローチ(Nonsignature Approaches for Endpoint Prevention)
マルウェアの脅威に対する純粋なシグネチャ・ベースのアプローチは、高度な標的型攻撃に対しては効果がない。一般的なマルウェアによるシステム侵入への対応策であるメモリ保護やエクスプロイトの防御、またシグネチャに替わる手段として、マルウェアを検出/ブロックする数学的モデルを使った機械学習ベースのマルウェア防御策など、従来のシグネチャ・ベースのアプローチを補う新たな手法が数多く登場している。
■ユーザー/エンティティ挙動分析(UEBA:User and Entity Behavioral Analytics)
セキュリティ情報/イベント管理(SIEM)によって幅広い範囲のセキュリティ・モニタリングが可能になるように、UEBAでは、広範にわたるセキュリティ分析が可能になる。
UEBAは、ユーザーの振る舞いに関してだけではなく、例えばエンドポイントやネットワーク、アプリケーションといった他のエンティティについても、ユーザーを中心に置いた分析を提供する。このように、さまざまなエンティティにわたる分析の相関関係によって分析結果の精度が高まるとともに、より効果的に脅威を検知することが可能になる。
■マイクロセグメンテーションおよびフローの可視性(Microsegmentation and Flow Visibility)
いったんエンタプライズ・システムへの侵入に成功した攻撃者は、通常、他のシステムに水平方向に自由に行き来することができる。このような、脅威に対抗するために登場した新たな要件が、エンタプライズ・ネットワークにおける水平方向のトラフィックの「マイクロセグメンテーション(より細かいレベルのセグメント化)」である。さらに、通信フローに対する可視性とモニタリング機能を提供するソリューションもある。
可視化ツールによって、運用環境の管理者およびセキュリティ管理者は、フローのパターンを把握し、セグメンテーションのポリシーを定義することで、ポリシーから外れた挙動をモニタすることができる。また、伝送中のデータ保護のためにワークロード間でネットワーク・トラフィックを任意に暗号化する機能(通常はポイント間のIPsecトンネル)や、ワークロード間での暗号分離機能を提供しているベンダーもある。
■DevOpsのためのセキュリティ・テスト(Security Testing for DevOps)
DevOpsにおけるワークフローは、セキュリティがその一部として統合される必要がある(DevSecOps)。この新しいDevSecOpsの作業モデルでは、スクリプト、「レシピ」、ブループリント、テンプレートを活用することで、セキュリティ・インフラの基盤を確立する。これには、開発環境におけるアプリケーション・テストやランタイム時のネットワーク接続性といったセキュリティ・ポリシーも含まれる。
また、システムを本番環境にリリースする前に、開発プロセスの段階で既知の脆弱性を発見する自動セキュリティ・スキャンを実行するソリューションもある。モデルやブループリント、テンプレート、ツールなど、セキュリティの確保の方法には関係なく、現在のワークロード環境を反映したポリシーに基づいて、基盤となるセキュリティ・インフラを透過的でコンプライアンスに沿った形で自動的に構築する、というコンセプトおよび最終的な目標は、すべてに共通している。
■インテリジェンス主導型SOCのオーケストレーション・ソリューション(Intelligence-Driven Security Operations Center Orchestration Solutions)
防御テクノロジやネットワーク境界、イベント・ベース・モニタリングを超えるインテリジェンス主導型SOCは、インテリジェンス(情報)を目的に構築し、セキュリティ・オペレーションにかかわるあらゆる局面に情報を提供できるように活用しなければならない。
「検知と対応」という新しいセキュリティのコンセプトにおける課題に対応するために、インテリジェンス主導型SOCも、適応性に優れたアーキテクチャとコンテキスト・アウェア型のコンポーネントによって、従来の防御のフレームワークのさらに先へと進んでいく必要がある。
このような情報セキュリティに必要な変革をサポートするために、従来型のSOCをインテリジェンス主導型SOCへと進化させなければならない。この進化を実現する主要なテクノロジ(イネーブラ)が、SOCプロセスの自動化とオーケストレーション(調整)になる。
■リモート・ブラウザ(ネットワーク分離:Remote Browser)
ほとんどの攻撃は、エンドユーザーを標的にした電子メールやURL、悪意あるWebサイトなどを通じたマルウェアへの感染を出発点にしている。このリスクに対する新しいアプローチの1つが、ブラウザのセッションをリモートの「ブラウザ・サーバ」から提供する方法になる。ブラウザ・セッション(Linuxベースが典型的)は、社内で実行しているサーバから提供するか、クラウド・ベースのサービスとして提供する。
このようにブラウジング機能を他のエンドポイントや企業ネットワークと切り離すことで、マルウェアがエンドユーザーのシステムに侵入することを防ぐ。このようにして、攻撃のリスクをサーバ・セッションにシフトすることで、新たなブラウズ・セッションごと、タブを開くたび、またはURLへのアクセスごとに、既知の正常な状態にリセットされる。これにより企業は、攻撃対象となる箇所を大幅に縮小している。
■偽装テクノロジ(Deception)
偽装テクノロジは、攻撃者の識別プロセスを妨害したり除外したりする偽装や策略、攻撃者の自動化ツールの中断、攻撃者の活動の遅延や不正アクセスの妨害などを行うテクノロジ。例えば、偽装機能によってニセの脆弱性やシステム、シェア、Cookieなどを作成した場合、正当なユーザーはこれらのリソースを見たりアクセスしたりすることはないため、これらのニセのリソースに攻撃者が攻撃を仕掛けると、攻撃が進行中であることが明確になる。
偽装テクノロジは、ネットワークやアプリケーション、エンドポイント、データなどの分野に出現しており、最高レベルのシステムは、複数の手法を組み合わせて提供されている。ガートナーは、偽装ツールや偽装戦術を採用し、攻撃者への偽装作戦に積極的に取り組む企業の割合が、2018年までに10%に達すると予測している。
■広域なトラスト・サービス(Pervasive Trust Services)
セキュリティ保護の範囲をオペレーショナル・テクノロジおよびIoTまで広げてほしいというニーズがセキュリティ部門に多く寄せられるようになるのに伴い、大規模に信頼性のプロビジョニングと管理を実現するための新しいセキュリティ・モデルが不可欠になる。
トラスト・サービスは、大規模な環境に展開できるとともに、数十億個のデバイス(その中には処理能力に限界のあるものも多く含まれる)のニーズをサポートできるように構築されている。大規模な分散型のトラスト・サービスや合意ベースのサービスを求めている企業は、セキュアなプロビジョニング、データの完全性、機密性、デバイスの識別、認証などを含むトラスト・サービスに焦点を当てる必要がある。
いくつかの最先端のアプローチでは、分散型トラストおよびブロックチェーンのようなアーキテクチャによって、大規模な環境に分散しているトラスト・サービスおよびデータの完全性を管理している。
なお、ガートナーは7月11日から13日までの3日間、東京コンファレンスセンター・品川(東京都港区)において、「ガートナー セキュリティ&リスク・マネジメント サミット 2016」を開催する。このサミットでは、ガートナーの国内外のアナリストやコンサルタントが、実証済みのプラクティスと戦略を紹介し、リスク/セキュリティ・リーダーが一貫してデジタル・ビジネスを支え、費用対効果の高いセキュリティ対策を牽引できるよう、さまざまな知見を提供するという。
