セキュリティとオブザーバビリティの間の壁を取り払う3つの方法

統合の価値と戦略的な必要性の伝達

セキュリティとオブザーバビリティのプラクティスの統合で支援を得るには、まずビジョンを持つことです。重要なのは、両チームを統合するのが合理的である理由と、それによってビジネス成果に及ぶ効果を、ビジネスの観点から伝えることです。同じく欠かせないのは、チーム間でツールを統合し、同じデータセットを利用することで、包括的なインサイトの獲得と意思決定の改善がどのように促進されるかを説明することです。さらに、こうした取り組みによって最終的には、収益を脅かしかねないインシデントの特定と解決にかかる時間が短縮されることを明確に伝えます。何しろダウンタイムのコストは1時間あたり平均54万ドルに達するのですから。

サイバーセキュリティとオブザーバビリティの両チームから賛同を得るには、統合の価値も理解してもらう必要があります。そこで、統合によってインシデントの検出と特定にかかる時間が短縮され、共有データを利用できるようになり、最終的には両チームともに業務をより効果的に遂行しやすくなることを説明します。その業務とは、組織を脅威から守り、すべてのアプリケーションを正常に稼働させて、業務が順調に運用されるよう維持することです。

加えて、2つのチームを統合することで、他にはないスキル向上の機会も得られます。UniSuperでチームを統合した後は、オブザーバビリティチームに属していたメンバーがサイバーセキュリティの経験を積むことで、スキルセットと知識の幅を広げることができました。

文化の統合はトップが率先

2つのチームを統合するということは、2つの異なる文化を統合するということにもなります。統合を真に成功させるには、チームが個別に業務を行っていた態勢から、同じ使命で結ばれた1つのチームとして協力する態勢へと移行する必要があります。

UniSuperでは、自分が情報セキュリティチームと監視チームの両方のリーダーを務めていたので、チーム間共同作業の主導と促進が進めやすかったと言えます。どのような状況であれ、指揮を執るリーダーこそが、コラボレーションを最優先に考え、部門横断的な協働の機会を定期的に確保する必要があるのです。

自動化の導入でチームの疲弊を防止

セキュリティとオブザーバビリティを統合するということは、データも統合されるということです。その結果、チームが日々精査するデータの量が増えることになります。そもそも、扱うデータの量は、ビジネスの進化、インフラの拡大、新しいプラットフォームやシステムの導入に伴い増加する一方です。調査では、セキュリティアナリストの4分の1以上(26%)が、すでにアラートへのタイムリーな対応が難しくなっていると認めています。

チーム統合に伴う最大の課題は、各チームはセキュリティ関連とオブザーバビリティ関連の両方のインシデントに目を通すことになるため、疲弊のリスクがきわめて現実的になることです。UniSuperでは、チームの統合後、自動化とプレイブックを取り入れてノイズを低減し、チームの士気を保っています。この対策によってアナリストは、優先度の高い問題の解決に集中できるようになりました。今後は、AIツールを活用することも検討しています。

サイバーセキュリティとオブザーバビリティを統合するということは、結局、ツールやワークフローの統合をはるかに上回ることなのです。それは、2つのチーム、2つの文化を融合するということです。なぜなら、両チームは究極的に同じ使命を担っており、協力することでその使命をより効果的に達成できるからです。

Splunkでは、セキュリティ、IT、エンジニアリングのリーダー向けの情報をニュースレターで毎月お届けしています。購読をご希望の方は、こちらからご登録ください。

このブログはこちらの英語ブログの翻訳、前園 曙宏によるレビューです。