ビジネス&テクノロジー
サイバーセキュリティスタックにおける人的要素の強化
私たちの多くは、人生やビジネスにおいて、自身の中核を成す能力や強みに再び目を向け、足りない部分についてはアウトソーシングしたり、専門家にアドバイスを求めたりする必要性を感じるときがあります。私たちはこのような戦略的な決断を下すことで、独自の能力を発揮して目の前の課題を解決し、さらに大きな飛躍を遂げることができるのです。
サイバーセキュリティの分野では、新たな脅威情報にほぼリアルタイムで対応できる動的かつ俊敏なセキュリティ態勢を支えるには、エンドツーエンドの自動化が必要であるとよく言われます。私たちの業界では、これは「攻撃を未然に防ぐ」ことであると理解しています。我々はこれまで、サイバーセキュリティのエコシステムに新しいテクノロジー、ベンダー、パートナーを追加し強化するために、このビジョンの実現に向けて時間とリソースを投資してきましたし、今後も投資し続けるでしょう。
しかし、多くのセキュリティリーダーは、サイバーセキュリティ戦略の人的要素や、それが全体的な成功に与える影響をいかに高めるかという点についてはあまり話題にしません。現在、グローバルリーダーの3分の2は、グローバルなスキル不足が自社にさらなるサイバーリスクをもたらすと主張しており、そのうちの80%は、過去12ヵ月間にサイバーセキュリティのスキルギャップを原因とするセキュリティ侵害を少なくとも1回経験したと報告しています。
今こそ、サイバーセキュリティの全体的枠組みの一部である人的要素について議論すべきです。
人的要素の強化、自動化、アウトソーシング
「貴社のテクノロジーセキュリティ機能のうち、現在サービスとして利用されているものはいくつで、評価しているのはいくつですか」という問いに、おそらく「ほとんど」と答えるのではないでしょうか。セキュリティベンダーはすでに、IPS、URL、DNS、サンドボックス、アンチウイルス、CASB、IoTなど顧客のテクノロジーにとって重要なセキュリティ機能を、最新の脅威に対応できるようセキュリティインテリジェンスを提供し続けることによって運用、保守、改良しています。サイバーセキュリティの専門家チームは、顧客がサイバー犯罪者の一歩先を行くための支援をすでに行っています。自動化されたプロセスについても同じことが言えます。皆さんの多くは、完全に自動化されたセキュリティ態勢、SOC、およびプロセスフローの構築を目指していることでしょう。そして、多くの企業はベンダーと一緒にこの道を歩んでいます。
しかし、従業員についてはプロセス、戦略、優先順位があまり整理されておらず、スキルアップのための時間さえもありません。また、SOCチームが行っている業務のうち、どれがアウトソーシングに適しているのかを評価している企業はさらに少ないでしょう。
組織の防御を強化する目的でセキュリティチーム、従業員、パートナーにサービスを適用するにあたっては、3つの戦略があります。1つ目は、サイバー戦争の最前線で日々戦っているサイバーセキュリティプロフェッショナルのスキルと技術によって、彼らの能力を強化することです。2つ目は、チームのプロセスの多くを自動化して、精度、平均検知時間(MTTD)、平均修復時間(MTTR)を向上させることです。そして3つ目は、目の前の重要なタスクにチームが集中できるよう、サイバーセキュリティの一部をアウトソーシングすることです。
強化
従業員
今日の攻撃の多くは、テクノロジーの欠陥や人間が犯すミス(フィッシングなど)のいずれであっても、脆弱性が悪用されるところから始まります。誰もが、外部攻撃対象領域管理(EASM)、ネットワーク検知とレスポンス(NDR)、ディセプション、エンドポイントの脅威検知とレスポンス(EDR)、さらにはセキュアメールゲートウェイやWebアプリケーションファイアウォール(WAF)などの高度な機能を重要な資産に追加することによって、攻撃サイクルのできるだけ早い段階で攻撃を防止 / 阻止しようと努めていますが、これらはすべて被害を最小化し、修復プロセスの長期化を回避するためのものです。
多くの場合、防衛の最前線に立つのは従業員です。例えば、テクノロジーを評価するのと同じように従業員を評価して、定期的に「パッチ」を適用する必要がある脆弱性(知識やスキルのギャップ)を探すとします。そうすれば、サイバーセーフプログラムの必要性は容易に理解できるはずです。継続的改善のためのこのプロセスは、最新の攻撃戦術に精通したサイバーセキュリティベンダーやチームと連携し、その知識を社内の従業員トレーニングプログラムに組み込むことで構築することが可能で、またそれが望ましい選択です。
SOCチームとサイバーセキュリティプロフェッショナル
大抵の企業のSOCチームは、アラート、ログ、およびタスクの選別に頭を悩ませています。その結果、進化する脅威動向や、エンドツーエンドのセキュリティ態勢全体の状況を把握するための時間の確保が難しくなっています。
練習することが、チームの攻撃への対応能力と対応速度のアップにつながります。したがって、そのための時間を確保する必要があります。戦術的トレーニング、能力の徹底評価、そして効果的な自動化およびプレイブックの構築とテストに時間を割き、SOAR(セキュリティのオーケストレーション、自動化、レスポンス)などのツールを活用してください。脅威追跡やインシデントレスポンスに積極的に取り組んでいるサイバーセキュリティの専門家であれば、企業のチーム向けにトレーニングを作成して実施するのに必要な実環境に則した経験を持っています。また、短期間での習得や投資の最適化をサポートするオンボーディングプログラムおよびトレーニングプログラムを評価し、活用してください。
アウトソーシング
現在のように速度と巧妙さの両面で脅威が激化している状況では、私たち全員がさらに努力を重ね、トップレベルを常に維持する必要があります。しかし、それだけでは限界があります。自動自己学習システムの構築や、専門家への一部機能のアウトソーシングなど、よりスマートな働き方の実現も欠かせません。こうした機能強化は、ノイズを排除してチームが最重要タスクに集中できるようにし、ビジネスを発展させる上での重要な手段となります。アウトソーシングは、さまざまな目的に利用できます。新しいテクノロジーを習得するまで一時的に利用することも、あるいはセキュリティチームの延長として恒久的に利用することもできます。
一般的に、企業がセキュリティ機能をアウトソーシングする領域は次の3つです。
セキュリティの有効性の評価
サイバーセキュリティプロフェッショナルの間では、セキュリティ態勢を構築するチームが、その有効性を評価するチームであってはならない、という格言があります。外部のチームにこの作業を委託すれば、より良い結果が必ず得られるはずです。こうした外部のサービスは、脆弱性のような個々のポイントインタイム評価から、ランサムウェアのような攻撃に対するエンドツーエンドの準備態勢を判断するための外部攻撃対象領域の継続的な監視まで、多岐にわたります。また、これらの評価は、将来の投資に欠かせないリスクベースの優先順位付けの裏付けとなります。
SOCの脅威追跡機能の一部または全部のアウトソーシング
脅威に対する能動的な監視、検知、レスポンスのアウトソーシングは、エンドポイント(MDR)からネットワーク、そしてSOC(SOC-as-a-Service)が担う全役割へと広がっています。また、今日の脅威が迅速化していることを考えると、検知からレスポンスまでのサイクルを完全に自動化することが脅威防止に最も適していると言えます。しかし、大抵の場合、完全な自動レスポンスを導入するかどうかは、自動化された他の分野と同様、時間、データ、専門知識によって進化 / 拡大する技術力に対してではなく、ML(機械学習)の提言とデータに対してSOCチームがどの程度信頼を寄せているかによって決まります。
インシデントレスポンス機能の一部または全部のアウトソーシング
攻撃される前にインシデントレスポンス(IR)チームと連携しておくことのメリットは、いくら強調してもしきれません。早い段階で関係を深めておくことで、セキュリティ態勢の進化と強化の面でIRチームのサポートを受けることができます。また、既存のセキュリティ機能や、合意済みのレスポンスおよび修復のプロセスに関して重要な知識を得ることができます。それがやがて、インシデントの削減と、インシデント発生後の修復に要する時間の短縮につながります。
自動化
すべての人が、業務環境の複雑化という問題に関わっています。マーケティングチームとエンジニアリングチームは複数のシステムを使用していますし、ユーザーは多くのデバイスを使用して、さらに多くのアプリケーションに接続しています。すべてのサイバーセキュリティリーダーが目指すべきは、組織全体で統一的なセキュリティフレームワークを確立し、相乗効果の高いシステムと集中型プロセスを優先させることによって、MLを活用した自動化を実現することです。
しかし、AIやMLが性能を発揮できるかどうかは、学習させたデータと、それを教える人間たちに左右されます。MLを搭載したソリューションを提供するベンダーと連携する際には、組織の内情を調査し、誰がモデルを設計しているのかを確認することが不可欠です。また、どのようなデータセットを使用しているのかも把握してください。インシデントの収集、処理、識別、およびレスポンスに使用されるプロセスと自動化が信頼できるものであることの確認も必要です。
FortiGuardサービスが、あらゆるビジネスクリティカルなサポートを提供
フォーティネットは、お客様のセキュリティエコシステムにネイティブな相乗効果と自動化をもたらす、業界をリードする完全統合型セキュリティ ファブリックの一部として、テクノロジーとエキスパート人材ベースのSECaaS(Security-as-a-Service)の幅広いポートフォリオも提供しています。これらのサービスを提供しているのは、経験豊富なサイバーセキュリティのエキスパートで構成されるグローバルに展開するFortiGuardチームです。
フォーティネットのサイバーセキュリティエキスパートチームとのミーティングでは、お客様の組織を保護する重要なセキュリティ機能の強化、自動化、アウトソーシングをどのように支援できるかについてご説明いたします。
フォーティネットが、幅広い適用領域で(Broad)システム連携し(Integrated)自動化された(Automated)サイバーセキュリティソリューションを提供するグローバルリーダーであり続ける理由については、「フォーティネットイノベーション」シリーズをご覧ください。
