近年、サイバーセキュリティにおいても深刻なインシデントが多数発生しており、攻撃者のターゲットが拡大および多様化しています。Splunkが発表した調査レポート「2021 State of Security」では、現在のセキュリティ対策における課題となるデータの問題とその解決策などがまとめられています。ここではレポートのポイントを、Splunkの新クラウドソリューションと合わせて紹介します。
2020年にセキュリティチームが直面した課題
新型コロナウイルスのパンデミックとリモートワークへの慌ただしい切り替えで幕を開けた2020年は、大規模で衝撃的な情報漏えい事件で幕を閉じました。在宅勤務とクラウドへの移行の加速は、攻撃者に多様な攻撃機会も与えてしまいました。また、SolarWindsへのハッキングはサプライチェーンの信頼性に大きな影を落としました。
そこでSplunkでは、9つの主要な経済圏の複数の業界に属する535人のセキュリティリーダーを対象に調査を実施しました。パンデミック発生のほぼ1年後、SolerWindsハッキング事件の2カ月後にあたります。調査結果によると、クラウド環境におけるセキュリティ対策の課題は「データセンターとクラウドの全体でのセキュリティポリシー適用」と「複数のセキュリティコントロールを行う際のコストと複雑さ」の2つが突出していました。
2020年においては、「サイバー攻撃の明らかな増加」が大きな課題となっています。回答者の5分の4がセキュリティインシデントを1回以上体験しており、これにより「修復のための膨大な時間とリソースの消費」(42%)、「生産性の損失」(36%)、「ビジネスシステムの中断」(35%)が発生しています。このようなインシデントが発生すると明らかにコストがかさみ、混乱を招き、場合によっては壊滅的な影響を及ぼす可能性があります。
セキュリティチームはまた、SolarWindsハッキングのような巧妙なサプライチェーン攻撃にも対処しなければなりません。そのために、今後は「セキュリティコントロールの監査を増やし」(35%)、「ソフトウェア更新の頻度を上げ」(30%)、「侵入テストをより頻繁に行い」(27%)、「多要素認証を増やしていく」(26%)と答えています。この実現には、さらにリソースを投入する必要があります。
「セキュリティはデータの問題」に対し取り組むべき4つのセキュリティ対策
Splunkのセキュリティ調査レポート2021では、エグゼクティブ向けのハイライトとして「セキュリティはデータの問題」を重要なポイントに挙げています。データは保護する対象であり、また攻撃者による侵入の試み、あるいはすでに侵入していることを教えてくれるものでもあります。一方で、企業がデジタルトランスフォーメーション(DX)を成し遂げるための起爆剤にもあります。データの重要性は年々高まっています。
このように重要なデータですが、クラウドサービスはその仕組みが複雑であり、しかもクラウドサービスプロバイダーによって仕組みが異なるため、オンプレミス環境と併用する際の可視化は容易ではありません。しかし、クラウドサービスを利用している回答者の75%がマルチクラウド環境を使用しており、87%が今後2年以内に複数のクラウドサービスプロバイダーを使用すると予想しています。
Splunkでは、今回の調査結果から推奨される4つのセキュリティ対策を紹介しています。
- SOCの最新化
- データを統合して表示する
- サプライチェーンの脅威に対するアプローチを見直す
- コラボレーションを促進する
「SOCの最新化」とは、ますます全貌が捉えにくくなっているクラウドなどの環境を、多様で進化を続ける脅威や攻撃者から保護するために、効果的なSOCを構築することです。そのためには、ゼロトラストの考え方が重要です。ゼロトラストは、「あらゆる人と事象を検証する」「特権アクセスの付与を最小限にする」「セキュリティ侵害がすでに発生しているものと仮定する」の3つの原則の上に成り立っています。特に、エンドユーザーの認証を厳格に行うことが重要になります。
また、セキュリティ運用プロセスの自動化も重要です。人の手による対応は時間もコストもかかりますし、現実問題としてそこまでのリソースがありません。そこで、SOAR(セキュリティのオーケストレーションと自動化によるレスポンス)とUEBA(ユーザーとエンティティの行動分析)の導入が進んでいます。さらに、最新のSIEMを導入することでネットワーク内のアクティビティを完全に可視化できるので、分析への投資の成果が現れやすくなります。
そして、セキュリティ対策に関するトレーニングと人材の拡充も必要です。増大する脅威を前にして組織が成長するには、そのセキュリティチームも成長させる必要があります。分析担当者の有効性は、自動化と分析の機能によって向上させることができ、さらに、業務に必要なツールの数を減らすことで改善していくことができます。
「データを統合して表示する」では、SOCには最高のツールが揃えられていますが、そのほとんどが個別最適化されています。しかし、マルチクラウドで複数のサービスを実行する複雑な環境では、それが新たな阻害要因になりえます。従来のセキュリティデータだけでなく、すべてのデータを横断的に把握できることが必要です。それは、セキュリティ対策やコンプライアンスの取り組みだけでなく、開発や運用での成功においも不可欠なものとなります。
「サプライチェーンの脅威に対するアプローチを見直す」では、攻撃者が企業ネットワークに進入した時点でそれを検知できることが求められます。SolerWindsハッキングによって、ベンダーが提供するサービスには外部のAPIやサービスを通じて複数のビジネスシステムで構成されていることが再認識されました。明確に定義され厳しい監視下に置かれたアイデンティティポリシーを用意し、強力に適用して監視し続けることが重要です。
「コラボレーションを促進する」では、DevSecOpsを実現することが挙げられます。DevOpsは開発チームと運用チームのコラボレーションでしたが、そこにセキュリティを統合しDevSecOpsを実現することで、セキュリティの自動化が可能となり、開発プロセスの初期の段階からセキュリティ対策を組み入れることができます。セキュリティチームとITチームのコラボレーションは、すでに新型コロナウイルスへの対応で促進されていますから、この変化をさらに推し進めていく必要があります。
堅牢なセキュリティによるデータ活用基盤を提供
調査結果から「セキュリティはデータの問題」であることが明らかになりました。企業はこのデータの問題を解決し、データから最大限の価値を引き出し、意思決定に活用してDXを推進していく必要があります。この課題を解決するために、Splunkではデータを中心としたアプローチによる唯一の最新セキュリティ運用プラットフォーム「Splunk Security Cloud」を発表しました。
セキュリティはデータの問題であり、データはセキュリティ分析のための基盤を提供して、より的確な意思決定を後押しするとSplunkは考えています。データが増加、多様化し続け、お客様のデジタル環境が複雑化の一途をたどる中、Splunk Security Cloudは、刻々と変化するセキュリティの問題に打開策をもたらす最善のソリューションです。
Splunkでは、データ時代に向けたテクノロジーの再構築を進めています。それは、セキュリティ、IT、可観測性(オブザーバビリティ)の基盤となるもので、「Data-to-Everything Platform」と名付けています。ハイブリッド・マルチクラウド環境からデータを取り込み、処理をすることで、共通のインタフェース、API、開発者向けツール、およびモバイル&コネクテッドエクスペリエンスを提供します。
「Splunk Security Cloud」により、さまざまなデータに対し分析、実行、調査、監視を可能にし、セキュリティやDevOps、ビジネス分析などを可能にします。具体的には、SIEM、UEBA、SOAR、Mission Controlが統合されています。これらにより、高度なセキュリティ分析やセキュリティ運用の自動化、脅威インテリジェンス、そしてオープンなエコシステムを実現し、セキュリティチームのより的確な意思決定をサポートし、データ活用による成果の創出を加速させます。
*Splunk Security CloudのAPAC向け提供は2022年初頭を予定しています。
