膨大なセキュリティデータに埋もれたコンテキストを掘り出すための対策

オブザーバビリティがコンテキストの問題を解決

オブザーバビリティツールは、分散した複雑なシステムの動作状況を理解することを目的としています。これらのツールを使えば、ログだけでなくトレースやメトリクスも取り込み、依存関係マップを作成することもできます。これにより、遅延の変化、エラーの急増、再試行、サチュレーション、サービスの健全性の悪化、「未知の未知」を検出できます。これこそまさに、セキュリティチームが欠いているコンテキストです。

相関付けによって本当に重要な情報を引き出すには、オブザーバビリティとセキュリティを統合する必要があります。たとえば、特定のPodでCPU使用率の急増に関連して認証失敗が発生していることを突き止めたり、複数のマイクロサービスやクラウドをまたいで悪質なリクエストのパスを追跡したり、サービスのパフォーマンス低下の原因が設定ミスによるものか攻撃によるものかを判断したりできます。

オブザーバビリティを構築すれば、状況をより正確に認識できます。今日の脅威の状況を踏まえれば、それは攻撃を未然に防ぐか、攻撃を受けてから対応するかの違いを生みます。

悪いのはSOC自体ではなく、足かせとなっているツール

セキュリティリーダーは常に重圧を感じています。そのため、ファイアウォール、EDR、CASB、脅威インテリジェンスフィード、SIEMなど、最高レベルのテクノロジーに投資して、取締役会にその正当性を示してきました。にもかかわらず、インシデントの発生に何週間も気づかないことが今でもあります。アナリストがアラートの調査に何時間も費やし、結局、誤検知だと判明するといったことも珍しくありません。当然、インシデント対応にはコストがかかります。人件費は1人1時間あたり75～150ドルで、1件のインシデント対応に最大で150時間ほど費やされることもあります。さらに、ツールの分散も無駄なコストを生みます。セキュリティ、DevOps/IT運用、ネットワーク運用など、共通点の多いユースケースで、同じテレメトリを異なるプラットフォームに取り込むことで費用がかさんでいることがよくあります。

多くの企業では、オブザーバビリティスタックとセキュリティスタックが連携していません。さらに悪いことに、無駄な重複があります。同じログが複数回送信されたり、重複するエージェントがインストールされていたりします。検出ルールが統一されておらず、コンテキストが不完全です。

従来のSIEMの問題点

従来のSIEMは、個々のログイベントを相関付け、既知のパターンに基づいてアラートを生成し、過去のデータを検索するイベント駆動型システムであり、その機能自体は優れています。しかし、動作を時系列で理解したり、複数のサービスをまたぐリクエストの流れを再現したり、インフラやアプリケーションのパフォーマンスデータに埋もれたシグナルを見つけ出したりするには不十分です。

なぜこれらが重要なのでしょうか。それは、近年の脅威はログに痕跡を残さないことがあるためです。つまり、システムの正常な動作範囲内で実行されます。いくつか例を挙げてみましょう。

• 暗号通貨マイニングがコンテナ化されたワークロードとして実行された場合、CPU使用率が長期間にわたってわずかに上昇しますが、セキュリティアラートは生成されないでしょう。
• 内部者が密かにデータを漏えいさせた場合、ストレージの空き容量が減り、送信トラフィックが急増することがありますが、通常、「セキュリティイベント」には該当しません。
• ゼロデイ攻撃を受けた場合、最初の兆候はマイクロサービス間のパフォーマンス低下という形で現れ、ログにはエラーが記録されないかもしれません。

従来のSIEMでは、検出するようにプログラムされていないものは見つけられません。その結果、2つの大きな問題が生じます。1つは攻撃の初期の兆候を見逃してしまうこと、もう1つは調査時に必要なコンテキストが手に入らないことです。その結果、対応が後手に回り、調査に時間がかかることになります。理想的なセキュリティ態勢を築くには、状況をコンテキストとともに継続的に把握する必要があります。

セキュリティとオブザーバビリティを統合すべき3つの理由

セキュリティとオブザーバビリティの統合は、単なる理想論ではありません。以下の3つの明確な理由から、実質的に必要不可欠です。

1. デジタル環境の複雑化

今日では、クラウドを利用する組織の多くがハイブリッドまたはマルチクラウドでワークフローを運用しています。そのため、システムをまたぐ可視化はもはや必須です。導入するクラウドサービスやAPIが増えると、環境の複雑さが増します。1つのリクエストが3社のプロバイダーのクラウドを横断しながら10以上のサービスで処理されることもあります。ここがブラックボックス化すると、十分なセキュリティを確保できません。

2. コスト圧力

セキュリティチームは、より少ないリソースでより多くの成果を達成することを求められています。セキュリティ業務の中で予算を最も浪費しているのは、冗長なテレメトリです。同じデータを複数のツールに取り込んでいる場合、1つのインシデントを調査するのに、ツールの数だけ取り込み料金を支払うことになります。

取り込みパイプラインを統合するだけでもテレメトリコストを20～30%削減できます。これにより、重複する費用を削減し、浮いた予算を脅威検出の強化に再配分できます。

3. チームの縦割り構造の解消

多くの組織が今日、検出から復旧までの時間をまとめて測定しています(MTTD + MTTR)。これは、セキュリティチーム、SREチーム、オブザーバビリティチームがインシデント対応全体の責任を共有する体制に進化していることを示しています。責任とワークフローを共有するチームが別々のツールを使用していては、拡張性が損なわれます。

CIOにとっては必須課題

統合は喫緊の課題です。各チームが別々に作業している場合、テレメトリの不足やツールの重複によってインシデントの見逃しや作業の重複が発生している可能性があります。しかし、これらの問題を認識した今、解決は可能です。

オブザーバビリティとセキュリティを共有データプラットフォームで統合すれば、大きな成果が得られます。たとえば、異なるシステムやドメイン間でシグナルを相関付けることでノイズを削減したり、検出の精度とスピードを向上させたりできます。また、アラートを個別に確認するのではなく、状況をストーリーとして包括的に把握できるようにもなります。これは、私がチーム内でいつも強調していることです。

プラットフォームを導入する際は、OpenTelemetryが組み込まれているものを選んでください。そうすれば、ベンダーに依存しない方法で豊富なテレメトリを取り込んで分析できます。また、一度取り込めば、それをすべてのツールで利用できるようになります。さらに、インフラのメトリクス、サービスのトレース、セキュリティログを1つの画面に表示する統合的なダッシュボード、検出ルール、調査ワークフローを備えているかどうかも重要です。

IDC社の調査によると、高度なIT管理ソリューションを利用している組織では、3年間の投資利益率(ROI)が387%に達し、わずか13カ月で投資を回収できていることがわかりました。また、財務的なメリットに加えて、セキュリティ面でも大きな成果をあげており、脅威の検出件数が86%増え、インシデント件数が47%減っていることも明らかになりました。

セキュリティにおいて闇を放置することは許されません。そして、クラウドネイティブの世界では、すべてを見渡すために従来のSIEMでは不十分です。その解決策は、現在のシステムを取り払って新しいものに置き換えることではありません。SIEMを拡張して、オブザーバビリティの構築に必要なテレメトリを扱えるようにしたうえで、最新のデジタル環境を可視化する統合プラットフォームを中心に防御戦略を組み立てることで、セキュリティ態勢を進化させることです。

このブログはこちらの英語ブログの翻訳、伊藤宣子によるレビューです。