10年以上にわたり、企業のサイバーセキュリティはポイントソリューションに依存してきました。企業は、エンドポイント検知、ファイアウォール、クラウドセキュリティ、IDおよびアクセス管理といった個別のツールに投資してきました。いずれも特定の脅威やコンプライアンス要件に対応するために設計されたものです。しかし、そのアプローチは崩れ始めています。
大きな理由の一つはスケールです。多くの大企業は40〜70種類もの異なるセキュリティツールを使い分けています。変化の速いビジネス環境において、それは単に手に余るだけでなく、効果的なリスク管理に対する現実的な障壁になりつつあります。
ワークフロー・オーケストレーションの巨人ServiceNowが、サイバーエクスポージャー管理ベンダーArmisを買収しようとしている計画は、いま起きていることの好例です。サイバーセキュリティは、可視化、優先順位付け、対応を一カ所に集約するプラットフォームを中心に再編されつつあり、数十のツールに分散させるのではなくなっています。
セキュリティスタックからセキュリティレイヤーへ
何が変わっているのかを理解するには、製品カテゴリで考えるのをやめ、企業内でリスクがどのように管理されているかという観点から、サイバーセキュリティをレイヤーとして捉えることが役立ちます。分解してみましょう。
第1のレイヤーは、クラウドプラットフォーム、IDシステム、エンタープライズのワークフローエンジンなど、インフラとコントロールプレーンをカバーします。日々の業務運用に最も近いツール群です。ServiceNowのような広く使われるオーケストレーションプラットフォームや、AWS、Microsoft、Googleのようなクラウドプラットフォームを考えてみてください。これらのシステムは膨大なデータを収集し、自動的にアクションを実行できます。チケットを起票する、侵害されたデバイスを隔離する、問題をエスカレーションする、といった具合です。
第2のレイヤーは、検知、防止、強制(エンフォースメント)です。ここでは、Palo Alto Networks、CrowdStrike、Fortinet、Check Pointといった既存大手が依然として優位に立っています。これらのツールは、いまやオールインワンのセキュリティプラットフォームとして提供され、アラートを生成し、ポリシーを適用し、脅威をブロックまたは封じ込めます。強みは深さにあります。豊富な脅威インテリジェンスと、実証された信頼性です。
第3のレイヤーは、可視性、ポスチャ、ガバナンスです。このレイヤーは近年急速に成長しており、クラウドネイティブアプリケーション保護、IDおよびアクセス管理、データセキュリティポスチャ管理、エクスポージャー評価に対応する専門ツールが登場しています。これらのプラットフォームの目的はシンプルです。企業リスクが実際にどこにあるのかを特定することです。
ここ数年で、これらのレイヤーは互いに重なり合い、崩れ始めています。かつては別製品が必要だった機能が、いまでは単一のプラットフォームに同梱されるようになりました。境界線が曖昧になり、それがセキュリティの意思決定のあり方を変えています。
なぜプラットフォームのほうが理にかなっているのか
いまやほぼすべてのプラットフォームベンダーが、かつて可視性・ガバナンスのレイヤーに属していた機能を取り込もうとしています。なぜでしょうか。検知だけでは不十分だからです。検知と同じくらい、どれだけ迅速に対応できるかが重要です。
侵害を特定し封じ込めるまでの平均時間は、いまだに日単位ではなく月単位で測られています。何かがおかしいと気づいてから修正するまでの遅れが、インシデントを災害へと変えてしまいます。企業は問題を早期に発見しても、十分な速さで行動できないことがよくあります。
プラットフォームは、洞察(インサイト)と行動の間の時間を短縮することで、そのギャップを埋めようとしています。ツールをもう一つ積み増すのではなく、既存のワークフローにセキュリティの文脈を直接織り込みます。
ServiceNowによるArmisの買収、そしてGoogleによるMandiantの買収(さらにクラウドセキュリティおよびCNAPPのリーダーであるWizの買収も間近とされる)は、その典型例です。Armisは、運用技術(OT)やIoTシステムなど監視が難しい環境に対して、継続的な可視性を提供します。Googleは、Mandiantの脅威インテリジェンスとインシデント対応能力を自社のクラウドエコシステムに統合しました。いずれの買収も、セキュリティをプラットフォームにより深く組み込むことを狙っています。
可視性レイヤーにおける構造的変化
統合への圧力が最も強く感じられるのは可視性レイヤーです。現在、多くの企業はマルチクラウドまたはハイブリッド環境を運用しており、クラウドの設定ミスはセキュリティインシデントの主要因です。ポスチャ管理ツールは役立ちますが、クラウドプロバイダーやプラットフォームは、それらの洞察をコンソールに直接組み込むことで存在感を増しています。
それによって専門ツールの必要性がなくなるわけではありませんが、評価のされ方は変わります。可視性はもはや単独の製品ではなく、プラットフォームの一部として期待されるものになっています。
既存セキュリティベンダーにとっての意味
プラットフォームがセキュリティ領域へ拡大する中で、当然の疑問が生じます。ハイパースケーラーやワークフローベンダーは、従来型セキュリティベンダーの中核事業を侵食しているのでしょうか。買収というより、バランスの取り直しに近いように見えます。
既存ベンダーは依然として専門領域を押さえています。エンドポイントのランタイム保護、高度なネットワーク強制、洗練された脅威検知といった機能は、大規模に再現するのが困難です。攻撃対象領域が複雑な大企業は、依然として多層防御のためにこれらのツールに依存しています。
一方で、リスクプロファイルが低い、または予算が限られている組織にとっては、クラウドネイティブのセキュリティサービスや統合ダッシュボードで十分な場合が多いのも事実です。
したがって、従来型セキュリティベンダーがポートフォリオを統合し、自社のプラットフォーム戦略を打ち出し、隣接市場へ拡大しているのも不思議ではありません。
CISO・CIOの視点:権限は上流へ移っている
CISOとCIOにとって重要なポイントは、ベンダー競争そのものではありません。意思決定の権限が、セキュリティスタック全体でどのように移動しているかです。ITSMやクラウド管理ツールのようなエンタープライズプラットフォームに、より多くのサイバーセキュリティのインテリジェンスが組み込まれるにつれて、セキュリティの意思決定は上流へ移っています。
CISOにとっては、ベンダーとの会話をダッシュボードの話にとどめず、事業への影響、監査対応の準備状況、経営層による監督へと踏み込む必要があることを意味します。恩恵を十分に得るには、CIO、運用チーム、リスク担当者とのより緊密な連携が求められます。
そしてCIOは、プラットフォーム選定がもはや単なるIT効率化の施策ではないことを認識しなければなりません。長期的には、そのプラットフォームの意思決定が、コンプライアンス、インシデント対応、運用レジリエンスに影響し得ます。
翻訳元: https://www.databreachtoday.com/blogs/rethinking-cybersecurity-in-platform-world-p-4035
