ほんの15~20年前、セキュリティオペレーションという実践は今よりずっとシンプルでした。それは、企業を守ることや侵入を特定・調査し、対応・緩和することが簡単だったからではありません。これらのこと、そして他にも多くの課題は常に困難であり、今も変わりません。ただ、15~20年前は、セキュリティオペレーションに携わる人々にとって、成功するための十分なチャンスがあったのです。
どういう意味でしょうか?この考えをもう少し掘り下げてみましょう。当時、企業インフラは比較的よく知られ、明確に定義されていました。多くの場合、いくつかのデータセンターと、よく理解された境界の内側にある企業ネットワークが存在していました。しかし、過去20年の間に、そのモデルは進化し、変化し始めました。
その結果、はるかに複雑で、定義が曖昧で、理解しづらいものになりました。現在、多くの組織が導入しているハイブリッドおよびマルチクラウドインフラは、セキュリティ組織、特にセキュリティオペレーション担当者に多くの課題をもたらしています。さまざまな観点から議論できますが、ここでは現代のインフラがセキュリティオペレーションを困難にしている10の方法についてさらに掘り下げてみましょう。
- 資産管理:資産管理はセキュリティオペレーションの成功に不可欠です。資産を適切に守るためには、まずそれらを把握し、管理できなければなりません。これには、ポリシーやコントロールの適用、必要に応じて資産とその場所を特定できることも含まれます。ハイブリッドやマルチクラウドへの移行により、資産管理は以前よりもはるかに困難になりました。セキュリティチームは、すべての環境で適切な資産管理を行い、異なるデータソース間のフィールドとそれに対応する資産をマッピングできるようにする必要があります。
- 可視性:セキュリティチームは、見えないものを守ることはできません。適切なセキュリティオペレーションには、適切な可視性が必要です。さまざまな環境や、そこを通過するトラフィック、そして前述の通りその環境内の資産を把握する必要があります。これができなければ、残念ながら多くのハイブリッドおよびマルチクラウド企業が直面している状態ですが、セキュリティオペレーションをうまく運用することは望めません。
- テレメトリ:可視性は、セキュリティオペレーションのもう一つの重要な要素であるテレメトリ収集を可能にします。適切なログ、イベント、アラートがなければ、セキュリティインシデントを検知、調査、分析、対応、緩和することはできません。テレメトリなしではセキュリティオペレーションは成り立たず、ハイブリッドおよびマルチクラウド環境はテレメトリ収集を以前よりもはるかに困難にしています。
- セキュリティポリシー:優れたセキュリティオペレーションには、セキュリティポリシーを一貫して、普遍的に、効果的かつ効率的に実装することが求められます。適切に反復し、得られた教訓を活かし、セキュリティを継続的に改善するには、それらの教訓や改善をすべての環境に簡単に実装できる方法が必要です。ハイブリッドおよびマルチクラウド環境はこれを大きく複雑化させ、セキュリティオペレーションをさらに困難にしています。
- 予防的コントロール:リスク、組織知識、得られた教訓によって推進・洗練・改善された予防的コントロールは、企業の安全を守るのに役立ちます。セキュリティオペレーションチームは、企業を守るための全体的なアプローチの一部として予防的コントロールに依存しています。現代のインフラは、予防的コントロールを効率的かつ効果的に実装する能力を大きく妨げるため、セキュリティオペレーションチームの仕事を困難にしています。
- 検知的コントロール:セキュリティオペレーションチームは、継続的なセキュリティ監視に多くの時間とエネルギーを費やしますが、これは主に導入された検知的コントロールに基づいています。これは、前述の可視性や適切なテレメトリ収集から自然に生じるものです。残念ながら、現代の環境の複雑さは、セキュリティオペレーションチームが望む検知的コントロールを適切に実装する能力を損なっています。これは現代のセキュリティオペレーションにとって大きな課題です。
- 調査:セキュリティインシデントや問題が発生した場合、セキュリティオペレーションチームは調査を行う必要があります。これには高度な分析やクエリを実行する能力が求められます。残念ながら、現代の複雑な環境ではこの能力は当然のものではありません。セキュリティオペレーションチームは必要な調査能力を欠いていることが多く、これがセキュリティインシデントや問題を適切に調査する能力を妨げています。
- 対応:セキュリティインシデントが十分に深刻な場合、正式なインシデント対応が必要になります。これには、綿密な計画、さまざまな関係者との調整、定期的なコミュニケーション、構造化された報告、継続的な分析、対応終了後の評価が含まれます。これらすべてのステップは、ハイブリッドおよびマルチクラウド環境によって複雑化し、場合によっては不可能になります。上記の能力が欠如していると、セキュリティオペレーションチームは適切なインシデント対応に取り組むことができず、複雑な環境であることは言い訳にはなりません。
- 修復:深刻か日常的かにかかわらず、セキュリティ問題が特定された場合は修復が必要です。この修復には、まず何よりもその問題を見て検知できることが必要です。その上で、問題が存在する環境にアクセスし、その環境で修復を行う能力も求められます。このアクセスは近年著しく複雑化しており、セキュリティオペレーションチームの修復能力を妨げる要因となっています。
- 教訓の活用:最初は、ハイブリッドやマルチクラウド環境への移行が教訓の効果的な活用と何の関係があるのか疑問に思うかもしれません。残念ながら、大いに関係があります。教訓は、推測ではなく、事実・データ・真実に基づいていなければなりません。上記のすべてのポイントがそのために必要であり、現代の環境ではそれを実現するのは簡単なことではありません。これも、セキュリティオペレーションが以前よりはるかに困難になっている理由の一つです。
ハイブリッドおよびマルチクラウド環境への移行が、セキュリティオペレーションを容易にするどころか、むしろ困難にしているのは事実です。しかし、今日の複雑な環境下でも、企業がセキュリティオペレーションを適切に運用できるようにするための手段は存在します。まず第一歩として、企業は効果的な分散クラウド管理とセキュリティポリシー、手順、テクノロジーを確立するべきです。これにより、必要な基本能力が提供され、上記10の重要なポイントで失われた多くのものをセキュリティオペレーションチームに取り戻すことができます。これらはセキュリティオペレーションにとって不可欠なポイントであり、企業が失ってはならないものです。今こそ、それらを取り戻す時です。
ジョシュア・ゴールドファーブ(Twitter: @ananalytical)は現在、F5のフィールドCISOを務めています。以前はFireEyeのVP、CTO – 新興技術担当、nPulse Technologiesのチーフセキュリティオフィサーを歴任し、nPulseのFireEyeによる買収まで同職を務めました。nPulse入社前は独立コンサルタントとして、分析手法を活用し、企業のネットワークトラフィック分析、セキュリティオペレーション、インシデント対応能力の構築・強化を支援し、情報セキュリティ体制の向上に貢献しました。これまで官民両セクターの多くのクライアントに対し、戦略・戦術両面でコンサルティングや助言を行ってきました。キャリア初期には、米国コンピュータ緊急対応チーム(US-CERT)の分析部門長を務め、US-CERTのネットワーク、エンドポイント、マルウェア分析/フォレンジック機能をゼロから構築し、その運用を担当しました。
翻訳元: https://www.securityweek.com/reclaiming-control-how-enterprises-can-fix-broken-security-operations/