最新のリスクに対応するミッションコントロール

金融機関は厳しい現実に直面しています。サイバー攻撃の高度化と高速化がますます進んでいるため、ひとたびインシデントが発生すると、組織が対応する前に、ITシステムや決済ネットワーク、顧客の口座全体に被害が及ぶ可能性があります。

問題は、セキュリティ、不正対策、IT運用、リスク管理を担当するチームのほとんどが、いまだに孤立した状態で業務を行っていることです。各チームが独自のコンソールで監視し、独自のデータを使い、独自のプレイブックに従って作業しています。その結果、過剰なアラート、対応の遅れ、脅威の拡大といった悪影響が組織全体に及びます。事実、Splunkの『2025年のセキュリティの現状』レポートでは、SOCの非効率性を生む主な要因として、59%の回答者が「アラートが多すぎる」と回答しています。

この課題の解決に役立つのがフュージョンセンターです。サイバーフュージョンセンターは、複数のチーム、データソース、分野にわたる脅威の検出、調査、対応を統合することを目的とした、先進的なセキュリティ運用モデルです。これは、エンドポイントログ、クラウドIDイベント、決済メッセージ、OTセンサーアラート、外部脅威などのシグナルを組織全体から取り込み、単一の運用ビューで管理する管制室の役割を果たします。

フュージョンセンターによって、迅速な対応と詳細なコンテキストの把握が可能になり、これまでインシデント対応の調整に何時間もかかっていた組織でも、数分で被害を食い止められるようになりました。かつては、インシデントが発生するたびに、チーム間の調整に数時間を要していましたが、今ではすばやく封じ込められるようになり、経営陣が求める解決と規制上の要求の両方に対応できるようになっています。

フュージョンセンターの導入が進まない理由

では、フュージョンセンターがこれほど画期的なものなら、なぜあまり普及していないのでしょうか？

以前は技術面で障壁がありましたが、現在は状況が変わりました。最新のSIEMおよびSOARプラットフォームを使えば、エンドポイント、クラウドログ、決済データなど、ほぼすべてのテレメトリを取り込んで正規化し、最初の封じ込めを自動化し、明瞭で監査可能なタイムラインを生成できます。また、今はストレージも十分に安いため、作成するログを厳選する必要もありません。5年前なら不可能だったことです。今は、技術的な問題よりも、プロセス、文化、コンプライアンスが主な障壁となっています。

• まず、プロセスの成熟度が不足しています。
  フュージョンセンターの成否は、統制された反復可能なプレイブックに基づいて運用されているかどうかで決まります。たとえば、高額の送金に不審な点があるとします。この場合、システムは送金処理を停止し、関連するすべてのログを集め、不正行為アナリスト向けに1件のケースを作成します。不正行為が見つかったら、マネーロンダリング対策(AML)チームとセキュリティチームにアラートを送信し、不審なアクティビティのレポート(SAR)のドラフトを作成し、ワークフローの中で得られた知見を検出ルールに反映します。こうした厳密なプロセスがなければ、フュージョンセンターはただの見栄えの良いダッシュボードに過ぎなくなってしまいます。
• 次に、文化の問題があります。
  セキュリティ、不正対策、AML、コンプライアンス、脅威インテリジェンスの各チームは独立して発展してきたため、それぞれのミッション、ツール、メトリクスはもちろん、規制当局まで異なります。部門間に事実上の壁があるため、情報が自然に共有されることはありません。フュージョンセンターは、その壁を取り除いてチーム間の連携を促進します。そのためには、すべてのチームにわたる経営陣の支援とKPIの設定が欠かせません。どちらも、組織の収益保護やレジリエンス強化に直結する重要な要素です。
• そして最後に、コンプライアンス対応がさらなる障壁となります。
  コンプライアンスを効果的に監視するには、未加工のレコードではなくセレクターを使って情報を関連付けることで、機密データを保護する必要があります。セレクター(トランザクションID、ユーザーIDなどの一意の識別子)は、個人情報を公開することなく、分散したデータセット間で関連するイベントを結び付けるアンカーとして機能します。フュージョンセンターは、これらのアンカーを活用することで、パターンを特定し、不正行為やセキュリティ上の問題のシグナルを調査に結び付け、厳格なプライバシー保護を維持することができます。

技術があればフュージョンセンターを導入することはできますが、それが実際に成果につながるかどうかは、プロセス、文化、コンプライアンス次第であると言えます。

フュージョンセンターの進化

フュージョンセンターモデルは、もともと9.11後に政府機関で始まりました。当時、FBIや地元警察、諜報機関などがそれぞれ独自にデータを保持していたために、陰謀を示す重要な手がかりが見過ごされていたことを捜査官たちは発見しました。どこかで聞いたことありませんか？

その後、このモデルは金融業界で取り入れられました。詐欺の急増と規制圧力の高まりを受けて、銀行はサイバーセキュリティ、不正対策、マネーロンダリング防止(AML)、リスク管理の各チームを統一する必要に迫られました。次にエネルギー業界が続き、さらに他の業界にも広がっています。フュージョンセンターモデルの導入は、もはやビジネス環境と規制環境によって事実上義務付けられていると言えるでしょう。

デジタル業務と収益の結び付きが強く、規制上の負担が重いほど、フュージョンセンターモデルの導入が強く求められるようになります。

しかし、5年前の「フュージョン」は、一般的に既存のSOCを拡張し、脅威インテリジェンス、インシデント対応、不正行為分析を同じ場所に集め、物理的な近さによって連携のギャップを埋めようとするものでした。それでも実際には、3台のコンソールが横一列に並んでいるだけで、各チームは依然としてスクリーンショットをメールでやり取りし、ログを手作業で突き合わせていました。真の連携にはまだほど遠い状況でした。

今日のフュージョンセンターモデルはまったく異なります。オブザーバビリティを基盤とし、明確なセキュリティ目的のもとに構築されており、すべてのテレメトリが、スキーマとタイムスタンプが統一された単一の分析プラットフォームに集約されます。その共有データレイヤーでは、SOARプレイブックが瞬時にトリガーされ、ホストの隔離、不審な送金の凍結、SARのドラフト作成が実行されます。人手による引き継ぎを待つ必要はありません。

この変化は単なる自動化にとどまりません。AIモデルの評価と導入が積極的に進められており、アナリストは生のログではなく、コンテキストに基づいて分析できるようになっています。さらに、各インシデントの情報が、リアルタイムで検出ルールとプレイブックにフィードバックされます。サプライヤーポータルのデータ、内部リスクの兆候、地政学的な動向など、新たなオブザーバビリティのデータソースが加わるにつれて、フュージョンセンターは進化しています。今では脅威の封じ込めにとどまらず、サービスの健全性やビジネスの継続性の監視にまでその役割は広がっています。

もはや、チケットの数を数えるだけのダッシュボードではありません。「どれだけのリスクを排除できたか？」「重要なサービスの回復力はどの程度か？」といった疑問に答えるツールへと進化しています。

フュージョンセンターを構築する際の注意点

「実行なきビジョンは妄想に過ぎない」という言葉があります。この考え方は、すべての要素を一度に構築しようとしてフュージョンセンターの導入が頓挫してしまう組織に大いに当てはまります。すべてのフィード、ツール、プレイブック、レポート、関係者に関連する作業を同時に進めようとすると、範囲が広がりすぎて収拾がつかなくなります。

導入は、範囲を絞ったパイロットプロジェクト単位で段階的に実施することが大切です。私はお客様に対して、小さい規模で設計、検証してから徐々に拡大するように勧めています。

導入を始めるうえで最も重要なのは、銀行の決済レールや重要なOTアラームのような価値の高いテレメトリストリームを1つ選んで、ビジネスKPIで測定可能な成果を1四半期以内に実証することです。そのためには、設計セッションの早い段階から、リスク管理チームとコンプライアンスチームに関与してもらう必要があります。

コンプライアンスの記録が自動的に取得されていない場合、遅延や文書の不備などのリスクが発生する可能性があります。規制当局は、送金停止の正確なタイムスタンプ、承認者、参照したログ、そしてAMLチームへの通知方法などを求める場合があります。こうした事態に対処するために、コンプライアンスをすべてのプレイブックの手順に組み込み、SOARの各アクションでタイムスタンプ、実行者ID、関連ログが1つのケースファイルに記録されるように設計する必要があります。

フュージョンセンターを適切に構築すれば、主要なビジネス目標に直結するメトリクスを得られます。この点が、フュージョンセンターの最大のメリットです。

フュージョンセンターが阻止した不正取引の総額を測定することで、実際に保護された金額が分かります。また、決済レールの稼働時間を追跡することで、サービスの信頼性を証明し、顧客の信頼を維持できます。検出と対応にかかる時間を短縮することで、攻撃者が活動できる時間を減らすことができます。コンプライアンスレポートの作成を自動化することで、法定の期限を遵守できるようになります。さらに、証拠を自動的に収集することで、アナリストはより価値のある業務に時間を費やせるようになります。こうした指標が改善されるにつれて、フュージョンセンターが企業の業績に与える具体的な効果が明らかになります。

その効果を得るには、フュージョンセンターの中核となるデータプラットフォームで、クラウドID、OT、不正行為、サードパーティなどに関するテレメトリを統合する必要があります。また、不審な送金を数秒で停止できるよう、SOARプレイブックを設計する必要があります。さらに、AIを活用して、チケットを作成する前に異常検知や情報補強を実施し、内蔵のコンプライアンスレポート機能を使って、技術的なイベントを規制当局向けの分かりやすい要約に変換します。これらの要素が同じ統合データプラットフォーム上で動作することで、連携に伴う摩擦がなくなり、リーダーはプロセスとリスクに集中できるようになります。

Mastercard社の欧州の新しいサイバーレジリエンスセンターでは、このモデルが実際に運用されています。この施設のフュージョンセンターでは、不正対策、サイバーセキュリティ、物理セキュリティの各チームが1つの環境に統合されており、同社はこれを「インシデント対応の心臓部」と呼んでいます。アナリストは統合された情報をもとに分析を行い、リアルタイムで封じ込めの対応を調整できます。Raiffeisen Bank Internationalはさらに一歩進み、約100の標準手続に含まれていたおよそ750の手動ステップを60の自動化プレイブックに置き換えることで、アナリスト1人の承認だけでプロセスを完了できるようにしました。これにより対応時間が短縮され、スタッフは手順の組み立て作業ではなく、調査に集中できるようになりました。

今後の展望

将来的には、フュージョンセンターは従来のITやセキュリティの枠を超えて、新たなデータソースを取り込むようになります。サプライチェーンのテレメトリ、内部リスク分析、GRCフィード関連の情報、さらには市場データ、地政学的イベント、気象パターンなどの外部シグナルまで統合されるでしょう。

ビジネスの混乱は多くの場合、特定の領域に限定されることはありません。そのため、アラートが通知される前に、光ファイバーの停止や突然の嵐など、業務に影響を及ぼす可能性のある事象を特定できることは極めて有益です。また、内部データと外部データを統合することで、経営陣はビジネスレジリエンスをリアルタイムで戦略的に把握できるため、情報に基づいた迅速な意思決定が可能になります。

自動化がさらに進化して、自社独自のインシデントデータでトレーニングされた軽量のAIエージェント(小規模言語モデル)を活用するようになると、インシデントの要約作成や重要事項の抽出、次の封じ込め手順の提案などを行えるようになります。この機能が成熟すれば、KPIを通じて、「組織が実際にどれくらいのリスクや不正行為を削減できたか」といったビジネスの観点からの報告が可能になります。

従来のチーム体制やデータサイロは依然として障壁になっています。変革を先延ばしにすることで、リスクは拡散し、捉えにくくなります。それを防ぐためにも、フュージョンセンターを綿密に計画し、まずはリアルタイムの決済レールのような価値の高いユースケースを1件、パイロットプロジェクトとして導入し、その成功を足がかりに拡張していくことが重要です。リスクを明らかにすることでどのような結果が得られるかは、数字が示してくれるでしょう。これ以上変革を遅らせても、今日の見落としが明日のインシデント報告に変わるだけです。

このブログはこちらの英語ブログの翻訳、中里 美奈子によるレビューです。