長年、セキュリティ運用における常識はシンプルなものでした。「とにかく全部集めろ」というものです。ログの保存コストは安く、ストレージも潤沢にあります。そして、データを多く持つチームほど、検知やフォレンジックに自信を持てると考えられてきました。
しかし、組織の規模が拡大するにつれ、この前提はいつの間にか崩れていきました。
95,000社以上の企業を支援する、非公開のHRサービス・給与計算プロバイダーであるVensure Employer Solutionsでは、テレメトリの量が単に増加しただけでなく、爆発的に膨れ上がりました。急速な買収、インフラの拡張、そして顧客基盤の拡大により、日常的なファイアウォールトラフィックが、同社のセキュリティ情報イベント管理(SIEM)環境に絶え間なく流れ込む生データの奔流と化したのです。
「私たちはあらゆるものを取り込んでいました」と、Vensureの情報セキュリティ担当SVP兼グローバルCISOであるDwayne Smith氏は語ります。「みんな、とにかく詰め込めるものは何でも詰め込んでいたのです」
転機となったのは侵害事件ではなく、請求書でした。Vensureが合併・買収を通じてより多くの環境を統合していく中で、ログの取り込みコストは持続不可能なペースで上昇し始めました。この増加の大部分を占めていたのは、ネットワークトラフィック、日常的なファイアウォールの接続ログ、フローレコード、そして無害なシステムイベントでした。Smith氏の見積もりによれば、取り込みコストは2年間でほぼ3倍に膨らんだといいます。
「問題は保存コストだけではありません」と同氏は言います。「それを維持し、管理し、それにまつわるポリシーやエビデンスを整備することも含まれるのです」
さらに憂慮すべきことに、価値の低いテレメトリの氾濫によって、アナリストが本当に重要な情報を見極めることが難しくなっていました。アラートはノイズに埋もれ、調査キューは長くなり、平均対応時間(MTTR)はじわじわと悪化していきました。
「持続可能な状態ではありませんでした」とSmith氏は振り返ります。
SIEMに何を取り込むべきかを見直す
Smith氏のチームは、ツールや人員を削減するのではなく、データそのものと、各種ツールやチーム間でテレメトリを取り込み、エンリッチし、振り分けるセキュリティデータパイプラインを厳しく見直すことにしました。彼らが気づいたのは、すべてのログが等しく扱われるべきものではないということでした。
セキュリティデータパイプラインに機械学習と大規模言語モデル(LLM)を活用することで、Vensureは受信ログ(DNSやファイアウォールの「許可」ログなど)のフィルタリングを自動化し、大量ながら価値の低いデータを識別・除外できるようになりました。これにより、重要なアラートを取りこぼすことなく、SIEMのコストとノイズを削減できたのです。
最初のテストケースとなったのはファイアウォールのテレメトリでした。脅威検知や侵入検知のアラートには明確なセキュリティ上の価値がある一方、イベントの大半を占める生の接続ログは、日々の検知や対応でほとんど利用されていませんでした。これらは「念のため」という理由だけで保持されていたのです。
「ただ置いておくためだけに、そうしたログすべてに料金を払い続けることは、実質的なビジネス上の問題になります」とSmith氏は言います。
その結果、脅威・侵入・認証関連のイベントを失うことなく、ファイアウォールのログ取り込み量を83%削減することに成功しました。
重要なシグナルが失われていないことを証明する
どのCISOにとっても、取り込み前にデータをフィルタリングするという判断はリスクの大きい決断です。誤ったログを失えば、検知の抜け穴につながりかねません。このアプローチを検証するため、Smith氏のチームはファイアウォール自体の指標、過去データ、そしてシミュレートした攻撃トラフィックを用いて並行比較を実施しました。また、MITRE ATT&CKなどのフレームワークに沿ったAIモデルも活用し、フィルタリング後のデータが依然として正しい脅威コンテキストの中で解釈されることを確認しました。
目的は単なるコスト削減ではありませんでした。確信を得ることこそが狙いだったのです。
「あれらのログをフィルタリングした結果、むしろ自分たちの環境をより深く理解できるようになりました」とSmith氏は語ります。
ダッシュボードを埋め尽くしていた無関係なイベントが減ったことで、アナリストはスキャン活動、ベンダーによるテスト、そして真の異常をより明確に把握できるようになりました。場合によっては、シグナルがクリーンになったことで、外部のセキュリティツールが想定どおりに機能しているかどうかを確認できるようにもなりました。これは以前は見えにくくなっていた点です。
数値で表れた運用面の成果
財務面での効果は即座に現れました。取り込みおよびストレージコストの削減により、年間およそ25万ドルの節約につながったのです。
しかし、それ以上に重要だったのは運用面の改善でした。アナリストが誤検知のトリアージに費やす時間が減ったことで、平均対応時間はおよそ50%短縮されました。大まかだったシグネチャがより精密な指標へと磨き上げられたことで、検知精度も向上しました。管理者の挙動を追跡しやすくなり、ID・アクセス管理も強化されました。さらに、特に地域ごとのデータ取り扱い要件に関して、コンプライアンス報告も改善されました。
「同じ人数のままで、仕事の量が増えただけでなく、仕事の質も上がりました」とSmith氏は述べています。
単なる自動化ではなく、コスト管理としての価値
セキュリティ分野におけるAI活用をめぐる業界内の議論の多くは、自律的な対応、エージェント型のワークフロー、予測分析に焦点を当てています。Smith氏はそうしたユースケースを否定はしませんが、暴走しがちなデータ支出を抑制するという意味で、コスト規律こそがこの技術のもっとも即効性があり、かつ過小評価されているメリットではないかと考えています。
「このままでは持続できません」と同氏は言います。「AIがその重圧を軽減できるのであれば、それは重要な意味を持ちます」
Smith氏にとって、この教訓は特定のツールやモデルを導入すべきという話ではありません。長年当たり前とされてきた前提、とりわけ「データが多ければ多いほどセキュリティは高まる」という思い込みを問い直すことにこそ意味があるのです。
翻訳元: https://www.darkreading.com/cyber-risk/too-much-security-data-risk