受動的なセキュリティは終わった。ROCは、次の侵害が起こる前にサイバーとファイナンスを融合させた者が未来を手にすることを証明している。
国家防衛に携わった私の経験を振り返ると、最も大切な教訓は「スピードと連携が全て」ということです。攻撃後に状況が落ち着くのを待ってから行動していては、最良でも大きな後退、最悪の場合は深刻な結果を招きます。これは企業のサイバーセキュリティにも当てはまります。侵害後に受動的に意思決定しても、財務的損失や業務の中断を防ぐには遅すぎることが多いのです。特に、標的が病院や地域の電力網、大規模な交通システムなどの重要インフラの場合、そのリスクは非常に高くなります。
この哲学こそが、業界としてサイバーリスクに取り組むべき姿勢だと考えます。事後の防御だけに注力するのではなく、Resilienceでは組織にサイバーリスクへの取り組み方を再考することを推奨しています。その一環として、従来のやり方、特に企業がこれまでどのようにセキュリティ監視やインシデント対応を管理してきたかを見直す必要があります。
非伝統的な世界における従来型SOC
何十年もの間、セキュリティオペレーションセンター(SOC)は業界標準として、アラートの監視やインシデントのトリアージの中枢を担ってきました。一般的なSOCの手順書は、パッチ適用やバックアップ復元によって事後に問題を封じ込めたり修復したりすることを目的としていますが、次の攻撃を予測したり防いだりするものではありません。この構造では、経営層がリスクエクスポージャーについて財務的に健全な意思決定を行うための適切な文脈や言語が提供されません。
この断絶による現実的な影響を私たちは何度も目にしてきました。従来型SOCの文化は、組織にセキュリティをバックオフィスの技術的な問題として捉えさせる傾向があります。アラートが届き、アナリストが対応し、チケットがクローズされて終わり。しかし、より広いビジネスの文脈が考慮されることは稀であり、困難なトレードオフが発生した際に技術チームが迅速に経営層の同意を得るのが難しくなります。
私たちのポートフォリオだけでも、ランサムウェア攻撃によって地域の病院ネットワークが数時間にわたり患者の受け入れを中断せざるを得なかった事例がありました。これはITチームが、影響を受けたシステムのシャットダウンについて即座に経営層の承認を得られなかったためです。別のケースでは、グローバルメーカーがクリティカルな脆弱性のパッチ適用を遅らせました。経営層がダウンタイムのコストに納得しなかったためですが、数週間後に攻撃者がその脆弱性を悪用しました。サイバーリスクを分断し、純粋に技術的な問題として扱うことには明らかに大きなコストが伴います。
もっと良い解決策があるはずだと感じていました。そこで登場したのがROCです。
ROCとは何か?
Resilience Risk Operations Center(ROC)の本質は、プロアクティブなインテリジェンスハブです。サイバー、ビジネス、ファイナンスのリスクが一つの明確な全体像として融合するフュージョンセンターと考えてください。
ROCというアイデア自体は全く新しいものではありません。政府や民間部門で様々な形で存在してきましたが、最新のROCは技術チームと財務チームの協働によって、脅威に「反応する」のではなく「予測する」ことに重点を置いています。
このアプローチでは、ROCが実際の攻撃データ、保険請求データ、ビジネスインテリジェンスデータを一つの運用環境に継続的に統合します。そして、脅威ハンター、保険請求の専門家、アンダーライター、データサイエンティスト、リスクエンジニアなど、様々な分野の専門家を(文字通り、または比喩的に)同じ部屋に集め、状況を評価します。このコラボレーションにより、脆弱性をより早く発見し、その財務的影響を理解し、攻撃者に悪用される前に行動を起こすことができます。
このアプローチの特徴は、技術的視点と財務的視点の統合です。SOCは重大な脆弱性のアラートを発するかもしれませんが、ROCはそこにアクチュアリーのデータや侵害コストを重ね、リスクが実際にどれだけの金額に相当するかを示します。クリティカルな脆弱性が誰にでも分かる現実的な財務用語で説明されると、意思決定が驚くほど迅速になります。
米空軍からの着想
ROCの背後にある原則は、突然生まれたものではありません。私が米空軍で航空作戦センター(AOC)に携わった経験から大きな影響を受けています。AOCは、空・宇宙・サイバー作戦を調整する中央指令ハブです。このアプローチは、レーダー画面や天候パターンを監視するだけではありません。衛星画像、部隊の動き、通信傍受など、あらゆる領域のインテリジェンスを一つの運用図に融合し、全員が行動できるようにするのです。
私が最も印象的だったのは、AOCが分断を打破していたことです。パイロット、情報分析官、兵站担当官、サイバーオペレーターが皆、同じインテリジェンスを共有しながら並んで座っていました。多様な専門性が集まることで、単なる事象への反応を超え、予測し、代替案を計画し、目先の脅威と長期的な目標のバランスを取った意思決定ができていました。
このアプローチは、現代の企業がサイバーリスクに対処する上で有用な比較対象となります。企業の世界では、脅威インテリジェンスは通常SOCに、保険データは財務チームに、ビジネスリスク評価は取締役会の報告書に眠っています。これらの情報が一つの意思決定ハブに集約されることはほとんどありません。ROCフレームワークは、コラボレーションと共通理解を促進することで、この状況を変えようとしています。
変化は容易ではない
もちろん、ROCの構築は順風満帆だったわけではありません。軍事の敵対者と同様に、サイバー犯罪者も常に進化し、巧妙になっています。さらに恐ろしいのは、犯罪者のたった一度のキーストロークが重大な混乱の連鎖を引き起こすことがある点です。彼らの次の一手を予測しようとすることは、ルールを途中で変える相手とチェスをしているようなものです。
また、サイバー、リスク、財務チーム間の既存の分断を打破するという課題もありました。これらの分野を橋渡しすることが、実質的な前向きな変化をもたらすために不可欠でした。
解決策は二つありました。まず、財務的に最も大きな損害をもたらす脅威を特定するために高度なモデルを活用したROCを設計したことです。これにより、ROCはメディアの誇張やベンダーのマーケティングによる過度なFUD(恐怖・不確実性・疑念)ではなく、真の影響に基づいて優先順位を付けることができます。これらのインサイトは各クライアント固有のインフラにマッピングされ、最も悪用されやすい脆弱性を特定し、その財務コストを算出し、リスク低減のための戦略を提案します。
二つ目の鍵は、パフォーマンスを継続的に向上させるポジティブなフィードバックループを組み込んだことです。脅威インテリジェンス、保険請求データ、クライアントの活動がほぼリアルタイムで相互に情報を与え合い、モデルの精度を高め、対応を加速させます。
現実世界での成功
ROCの運用開始から最初の数ヶ月で、このモデルが大規模に機能する明確な兆候が見られました。2024年4月、Palo Alto NetworksがグローバルVPN製品のゼロデイ脆弱性を公表しました。数時間以内に、ROCはクライアント環境全体のデータを統合し、誰がリスクにさらされているかを特定しました。脆弱性ハンティングチームは即座にアラートと推奨対応策を送り、クライアントは攻撃者に先んじて脆弱なシステムを無効化できました。アラートを受け取らなかった、または推奨対応を行わなかった企業は、数週間にわたり修復作業と高額な損失に直面しました。この対比は、運用上の警戒と財務的洞察を組み合わせることで、リアルタイムにリスクを大幅に低減できることを浮き彫りにしました。
今後の展望
私にとってレジリエンスとは、あらゆる脅威から守ること以上の意味があります。それは、サイバー防御を財務的成果と連動させ、「いつか」ではなく「必ず」侵害が発生した際にも、企業が打撃を吸収し、事業を継続できるようにすることです。
ROCのコンセプトは、そのサイバーレジリエンスへの旅の最初の本格的な一歩です。単なる製品やプラットフォームではなく、統合され財務的に裏付けられたサイバー防御への戦略的転換です。技術と財務の両領域にまたがるインテリジェンスを融合することで、このモデルはサイバーセキュリティを受動的な機能から、リーダーがプレッシャー下でも迅速かつ賢明な意思決定を下せる能動的な分野へと変革します。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加をご希望ですか?
翻訳元: https://www.csoonline.com/article/4078696/step-aside-soc-its-time-to-roc.html
