[イベントレポート]
DX推進の前提となる次世代セキュリティ「XDR」へのシフトを急げ
2019年4月15日(月)柏木 恵子
データがビジネス戦略上の最重要資源になっている今、企業のセキュリティの考え方に対して転換が迫られている。インシデントを見逃ないよう幾つものセキュリティツールを導入した結果、膨大なログに溺れて重要なアラートを見逃してしまう──それではまるで意味がない。求められているのはシンプルさ、そして自動化である。先般都内で開かれたPalo Alto Networks Forum 2019 vol.1(主催:パロアルトネットワークス/メディア協力:インプレス)では、「XDR=次世代のエンドポイントセキュリティ」をテーマに、この分野のエキスパートたちがそれぞれの立場から論じた。(撮影:石川高央)
SOC運用でうまくいっていること、いないこと
続いて登壇したのは、米Palo Alto NetworksでSOC(Security Operation Center)グローバルプラクティスリードを務めるジョン・カイマノ(John Caimano)氏(写真2)だ。タイトルどおり、SOCのエキスパートである。
日本では、ネットワークセキュリティとエンドポイントセキュリティは別の部署が管轄しているなど、自社でSOCを置く企業はあまり多くない。しかし欧米では、全社のリスクを統合的に把握し分析を行い、セキュリティインシデントに迅速に対処するSOCの重要性が認知されている。
「欧米ではSOCがセキュリティアラートの識別、調査、影響の緩和、継続的な向上を担っている」とカイマノ氏は言う。「職制が明確で、ネットワーク運用やフォレンジック、インシデントレスポンス、コンプライアンスは、それぞれの担当部署が行う。SOCはセキュリティに関すること以外はやらないのが重要」と同氏。というのも、セキュリティアラートがあまりに膨大で、他のことをやっている余裕などないからだという。
SOCにおける課題としてカイマノ氏は、セキュリティアナリストの時間配分について挙げた(図3)。氏によると、信頼性の低いデータと誤検知が大量に押し寄せ、本当に危険かどうかを識別することにアナリストの多くの労力が費やされている。結果、重大なアラートを無視せざるをえないケースも少なくないというのだ。
拡大画像表示
「本来は、危険かもしれないアラートの調査に時間を割くべきで、そのためにはセキュリティの自動化が欠かせない」とカイマノ氏は強調。それを支えるのが適正なメトリック(測定基準)で、「設定の信頼性(制御できているか/ベストプラクティスに合わせて設定しているか/機能の仕様、目に見えるトラフィックの割合はどうか)と、運用の信頼性(アナリストの時間あたりイベント数/インシデントの重複/既知の脅威に対するアラート/SOC手順への順守)の2種類のメトリックで判断すべき」だと説いた(図4)。
拡大画像表示
デジタル戦略とセキュリティ戦略、課題整理と有効なアクションは
クロージングセッションはこの日の登壇者によるパネルディスカッションである。パネリストは3人。デジタルトランスフォーメーションを推進するユーザー企業の立場から、オープニング基調講演に登壇したブリヂストン フェローの三枝幸夫氏、セキュリティエキスパートの立場でパロアルトネットワークスの広瀬氏とカイマノ氏が登壇(写真3)。モデレーターをインプレス IT Leaders 編集長の河原潤が務めた。
ディスカッションは、DX推進や組織・人材の課題から始まり、“データは現代の石油”の時代に求められるセキュリティのアプローチまで語られた。基調講演で自社のデジタルへの取り組みを紹介した三枝氏は、「長年のシステム改造の積み重ねで、カスタマイズが多数存在するうえに、クラウドサービスなどの新しいツールが追加されることになった。複雑化して、それがビジネス改革のスピードやDXの足かせになることが懸念された」と課題を挙げた。広瀬氏のセッションでも指摘のあった、多数のポイントソリューションがもたらすリスクである。
セキュリティ分野に限っても、ネットワークセキュリティやエンドポイントセキュリティ、クラウドセキュリティで、多様なツールが追加され複雑化してしまうケースは間々ある。広瀬氏は、「個々のツールの善し悪しというより、重要なデータの保護に向かう、一貫したストーリーが重要だ」と述べた。
このことは、日本企業ではセキュリティ人材を社内に置かずアウトソーシングする傾向にあることとも関連する。カイマノ氏によれば、「セキュリティを統括する立場としてSOCに強い発言力があるべきで、CISO(Chief Information Security Officer)の強いリーダーシップやミッションについてSLA(Service Level Agreement)を結ぶことが大事」だという。今後に向けた展望として、「セキュリティ人材の疲弊を防ぎ、人材不足を解消するためにも、今後はAIの活用や自動化がますます重要になっていく」との意見で一致して、ディスカッションの幕が閉じた。