1.セキュリティにおける作戦行動
せっかくなので、TOP GUNらしく少しマニアックなお話をしましょう。
昨今の軍事理論において、基本となる考え方に「Strategy(戦略)」、「Operations(作戦)」、「Tactics(戦術)」というものがあります。「Strategy(戦略)」は最も上位に存在し、戦争の発生を抑止もしくは侵略を受けた場合にこれを排除するために防衛力を構築・運用する方策を表します。「Operations(作戦)」は「Strategy(戦略)」の下に位置し、戦略における目的を達成するための一連の行動を表します。そして、「Tactics(戦術)」は最下位に位置し、作戦において任務を遂行するための運用を表しています。
これらは、しばしば軍事の世界だけでなく、ビジネスの世界やマネジメントの世界でも例として使われるため、耳にしたことがある方も少なくないと思います。しかしながら、筆者はこの考え方が最もしっくりくるのがセキュリティの分野ではないかと思っています。
企業セキュリティにおいて、昨今のランサムウェア被害は非常に深刻であり、その対策に追われている企業も少なくありません。ランサムウェアによる攻撃によって業務が停止し、情報が漏洩することがないような「Strategy(戦略)」を検討し、その目標を達成するために日々の意思決定やタスクの優先度の決定、脅威情報を収集といった「Operations(作戦)」を策定し、その任務を遂行するために各種セキュリティ製品を導入し「Tactics(戦術)」を運用する、こう考えると皆さんが日々苦心されていることはまさに「Strategy(戦略)」、「Operations(作戦)」、「Tactics(戦術)」ではないでしょうか?
2.セキュリティ製品の戦術的な運用
しかしながら、この流れが本当に遂行できているのか?と考えると怪しい場合も少なくありません。例えば最新のメールセキュリティ製品やEDR製品を導入して、社内のセキュリティ環境は万全!というつもりでいたのに、出力されるアラート量に対応できずセキュリティチームがパンク、また製品ごとに出力されるログの相関関係や優先順位をどうしたらいいのか?の判断ができず期待していた相乗効果を上げることなく、返ってセキュリティチーム内の縦割りを加速させる結果になってしまったというお話。これは経営陣から降りてくる「Strategy(戦略)」に対して様々なセキュリティベンダーが提案する「Tactics(戦術)」であるセキュリティ製品を導入したが、「Operations(作戦)」に失敗した結果です。
昨今のDXにともなうIT環境のクラウド化によってセキュリティ製品もクラウドソリューションを導入することが多くなっていますが、それぞれのソリューションが強力な分、このような傾向が強くなっている気がします。
これは「Strategy(戦略)」と「Tactics(戦術)」をつなぐ「Operations(作戦)」が整備されていないため、発生している問題であると考えることができますが、その「Operations(作戦)」をどのようにして整備するのか? そこにCCoE(Cloud Center of Exellence)チームが活躍する場が存在します。
CCoE チームの主要な職務は、クラウドネイティブまたはハイブリッド ソリューションを通じてクラウド導入を加速することですが、ゴールは導入ではなく、導入したクラウドソリューションを生かしてビジネスの機敏性とスピードに対する長期的な改善です。当初のセキュリティ製品の運用について考えてみた場合、CCoEチームはどのように「Operations(作戦)」を整備するべきでしょうか。
CCoEチームはセキュリティチームと継続的に協働して一般的な問題を自動化し単調なメンテナンス タスクを削減、その分相乗効果をあげるために何ができるのか?を検討する必要があります。このシナリオにおいてCCoEチームを助けることができるツールとしてXDR (eXtended Detection and Response)があります。
3.XDR (eXtended Detection and Response)とは?
社内には、メール、NW、ID、Endpointなど様々な領域に対するセキュリティチームがあり、各々がログやアラートを管理しています。
それぞれのセキュリティ製品は強力なソリューションですが、他のソリューションと連携することを想定しておらず個々で完結しています。領域を横断するようなインシデントの場合、ログの相関分析を人手で実施する事が必要となり、オペレーター個人の能力に大きく依存し、長時間の調査時間が必要となることがほとんどです。
そこでXDRソリューションでは、まず各製品から出力されるアラートを自動的に相関付けし、相関関係のあるアラート同士を一つのインシデントとして集約することで、これまでオペレーターが手動でおこなってきたタスクを自動化し、大幅なスピードアップとチーム間の連携を容易にします。これによって、例に挙げたような大量のログの処理によってセキュリティチームがパンクすることを防ぎ、かつ自動的な相関分析によってアラートの優先順位つけを容易にし、チーム間の相乗効果を狙うことが可能となります。
また発生したインシデントへの対応についても、これまでは各製品チーム間で脅威がどこに存在するのか?を協議したうえで対応策を模索することが多かったです。しかしXDRではAIと機械学習を応用した結果、脅威の特定から修復をリアルタイムで実施する事が可能となり、その結果よりビジネスを止めることがない、ビジネスの機敏性とスピードを増すことができるセキュリティを可能としています。
このようにCCoEチームはツールを活用することでその目的をより容易に、より迅速に達成することが可能となります。ツールを導入することが目的ではありませんが、XDRのようなツールを活用して社内におけるOperations(作戦)の策定を加速し、社内のクラウド導入の促進の一助になれば幸いです。
またマイクロソフトでは、皆様の作戦遂行力(オペレーション)の向上のためのXDR体験ワークショップ(Immersive Workshop)もご用意しております。もしご興味をお持ちいただけましたら弊社営業までお声がけください。
最後まで読んでいただきありがとうございました。
クラウド & ソリューション事業本部セキュリティ統括本部
セキュリティ第一技術営業本部
テクニカル スペシャリスト CISSP/GCIH
陸上自衛隊 予備1等陸尉
小町 紘之 経歴:
ISA2004やForeFront シリーズの頃からマイクロソフトでセキュリティ製品を含むサポートに従事。直近は「お客様の運用を楽にするセキュリティ」をテーマに、エンタープライズのお客様へMicrosoft 365/Azure Security についてプリセールスの技術担当として活動。個人としてもサイバー技能の予備自衛官に志願し、陸上自衛隊 予備1等陸尉として安全保障の末席を担いながら、CISSP/GCIH としてセキュリティのコミュニティ活動を続ける。コード名 TGM。
