データフェデレーションによりSOCの脅威対応を加速

映画や小説の登場人物でしたら、複雑さというものは歓迎すべき要素であり、刺激や謎を生みだしてストーリーを盛り上げてくれます。しかし、データ環境では話が違ってきます。

Splunkのレポート『データ管理の新たなルール』では、データ管理における最重要課題の1つとして回答者の67%が、データ量の多さとデータの増加を挙げています。この割合は、データセキュリティとコンプライアンスの維持を最大の障壁に挙げた69%に次ぐ高さです。組織のほとんどとは言わなくても多くにおいて、データの激増とデータサイロの乱立が複雑化を招いていることは明らかです。その結果、データのアクセス、分析、保護が困難になり、規制要件の遵守も一層難しくなっています。

この問題は特にSOCにとって負担となります。そのメンバーが担うのは、組織の最も重要な情報を悪質な脅威から守ってセキュリティを維持する責任です。データの複雑化によって組織の攻撃対象領域は拡大することになり、攻撃者が悪質な活動を行うための隠れ蓑になるほか、組織を危険にさらしかねない他のリスクも生み出します。同時に、SOCでは常時、大量のアラートに直面しながらも、その対応に必要な時間や人員や知識が不足している状態になります。どちらのシナリオも、望ましいものではありません。

しかし、データフェデレーション戦略というものが、混沌としたデータ環境と当面は続くSOC人員不足が重なった状況への解答になるかもしれません。このブログ記事では、SOCでのデータの複雑化の問題について説明し、フェデレーション戦略のメリットと、フェデレーション戦略を積極的に取り入れているSOCアナリストが優れた成果を安定して達成している様子をご紹介します。

データの分散がSOCチームの業務を阻害

データの複雑化は、SOCが日々直面する現実です。原因の一端は、たとえばオンプレミスのインフラ、クラウドアプリケーション、IoTデバイス、AIの導入など、増え続けるデータソースにあります。

SOCチームは、環境内で異種混在が進むにつれてその管理と保護が難しくなることを痛感しているでしょう。その原因は主に、データが分散する環境では、各自が見ているのがデータの異なる一部分であって、同じものを見ることは決してないことにあります。分散が進んだ環境における大きなセキュリティ問題の1つは、大量のデータが管理されず、しかも多くの場合は長期間にわたり放置されることです。これらのデータはクリーニングされず、最適な場所に保管されることも、使用後に適切なタイミングで破棄されることもありません。また、データソースが多様化することでサイロ化も進みます。これにより、データが二重三重に重複するため、運用コストが増大するとともに、データ品質は下がり、効率化の阻害要因となります。

これらの問題すべてが、脅威への対応に深刻な影響をもたらします。その打撃を直に受けるのはセキュリティアナリストです。脅威の状況を十分に可視化できず、インシデントアラートが遅れたり完全に見落とされ、マルウェアが知らないうちに侵入してしまいます。大量のデータは、重要なシグナルを覆い隠すだけでなく、SOCアナリストの調査を大幅に長引かせることもあります。業務遂行に関連する有用なデータを探そうとして、ツールを頻繁に切り替える必要が生じたり、アラート疲れや燃え尽き症候群に陥ったりするためです。

しかし、解決の道はあります。データフェデレーションこそ、多くのSOCチームが切実に必要としている答えとなるかもしれないのです。

データフェデレーションによるメリット

SOCチームが限られた時間を最大限に活用するために必要なデータ戦略は、単にデータを処理して整理するだけのものではありません。業務を効率化するとともに、セキュリティ成果に測定可能な効果を実現するべきです。そこで登場するのがデータフェデレーションです。

データフェデレーションの主な目的は、環境内のデータを現在の保管場所に置いたまま表示、アクセス、処理、分析できるようにすることです。組織はデータの保管先について、発生源でも別の専用スペースでも自由に決定できます。これはSOCチームにとって大きなメリットです。データがどこに保管されていても、検索と分析を1カ所から行えるためです。これによって、複製や高額な移行への投資が不要になり、データ品質低下のリスクも回避できます。

実際の場面に当てはめると、SOCアナリストは、インシデント発生を知らせる電話を待つ代わりに、データエコシステムの中枢からアラートを受信できるようになります。また、データフェデレーションによってデータの保管場所が減るため、データの行先の管理が簡単になります。その結果、アクセス制御を管理および維持しやすくなります。

データフェデレーションを取り入れれば、柔軟性も向上し、異なるチームが同じデータを活用できるようになります。SOCチームは、データをSOCでの分析に利用するだけでなく、その結果をITチームやエンジニアリングチームに提供することもできます。データの共有と再利用の機会が開かれ、チーム間のコラボレーションが促進され、データの活用範囲が広がって、いっそう価値を高めることができます。

データフェデレーションがSOCの成果を促進

当然かもしれませんが、データフェデレーションを全面的に導入し、データパイプライン管理やデータライフサイクル管理も併せて実施している組織は多くの場合、重要なKPIやセキュリティ指標において大きく優位に立っています。調査では、他の組織を営業利益率で13%、持続可能性で20%、イノベーションのスピードで11%上回っています。これらの組織は、『データ管理の新たなルール』レポートで「データ管理のリーダー的組織」に分類され、こうした手法を取り入れているセキュリティチームも、SOC業務において数々の成果を達成しています。

そうした成果にはTDIRの主な領域でのメリットが含まれ、たとえば脅威の検出、調査、対応(TDIR)の迅速化が挙げられます。「データ管理のリーダー的組織」からの報告によると、MTTRの短縮、脅威無力化の成功率向上、根本原因の特定の迅速化、侵害の削減なども実現しています。

データフェデレーションを全面的にせよ部分的にせよ何らかの形で取り入れることで、多くのメリットが得られます。たとえば、データフェデレーション管理戦略を導入している組織はその効果として、67%がデータアクセスのスピード向上、54%がデータガバナンスの改善、47%がコンプライアンス態勢の強化を挙げています。そのメリットはSOCだけでなく組織内のすべてのチームに広がり、アクセススピードの向上、全体的なデータ処理速度の向上、計算オーバーヘッドの削減など、データ関連のメトリクスが目に見えて改善されます。

セキュリティチームにとっては、変革を一夜で達成できるわけではありません。そのプロセスはおそらく、意識の変革から始まるでしょう。セキュリティデータを頑なに抱え込む姿勢から、コラボレーションと情報共有の文化に移行するということです。焦る必要はありません。データフェデレーション初期のメトリクスでさえ、データフェデレーション戦略の拡大が緩やかであっても、トータルではプラスの成果が得られていることを示しています。また、効果的なフェデレーション戦略の基盤を作り始めることは、強力なレジリエンス基盤を築くことでもあります。これに着手したSOCチームは、この基盤を足掛かりに、データ管理の取り組みをレベルアップして、ビジネスの成功を支援していくでしょう。

データフェデレーション戦略がセキュリティチームとオブザーバビリティチームの成功にどのように貢献するかについて詳しくは、『データ管理の新たなルール』レポートをご覧ください。 

このブログはこちらの英語ブログの翻訳、伊藤 宣子によるレビューです。