エージェンティックAI時代のセキュリティ運用を強化

脅威の状況はかつてないほど急速に進化しています。セキュリティチームの準備はできていますか？ 

ハイパーコネクテッド化が進む今日の世界で、セキュリティチームは、攻撃の高度化、クラウド導入やリモートワークの拡大、エージェンティックAIの急速な普及など、前例のないプレッシャーにさらされています。従来のセキュリティアプローチではもはや、この状況に対応できません。脅威が増大し続ける中、可視化の盲点、手動のプロセス、過剰なアラートがチームの足かせとなっています。一方で、新しいテクノロジーは新しい機会ももたらします。Splunkとシスコが開催したEMEA Digital Resilience Weekでは、統合的な可視化、AIドリブンの自動化、セキュリティ態勢のレジリエンス構築を実現して脅威の進化に対応するための、実用的で効果的な戦略をご紹介しました。

脅威の検出、調査、対応を極める：ネットワークセキュリティの強化 

今日のセキュリティ運用において特に見落とされがちな資産の1つはネットワークです。多くのセキュリティチームが、エンドポイントデータ、ログ、脅威インテリジェンスフィードに重点を置く一方で、ネットワークインフラを通じて得られる重要かつ豊富なインサイトを見逃しています。ネットワークでは、接続、データ転送、異常など、あらゆるアクティビティが記録され、脅威の検出、調査、対応(TDIR)の重要な情報源になります。2日目に開催されたセキュリティセッション「Why the Network is a Vital Component in TDIR with Splunk and Cisco (SplunkとシスコのTDIRにおいてネットワークが重視される理由)」では、Splunkによる強力な分析とシスコによるネットワークの詳細な可視化を組み合わせることがセキュリティチームの能力増強にどのように役立つかを紹介しました。従来のアプローチでは見落とされていた可能性のある脅威に関するインサイトがこの統合によってどのように導出されるか、そして、可視化と実用的なインテリジェンスを組み合わせることのメリットを解説しました。 

^{図1：Cisco Cloud Security Appを使ったSplunkでのシスコファイアウォールの監視}

また、データ、分析、自動化、AI/機械学習を統合して、強固な基盤を構築し、組織固有のリスクプロファイルと制約に基づいて継続的に改善していくことで、セキュリティ態勢の成熟度を着実に向上させる方法を、Splunkとシスコのエキスパートが解説します。さらに、攻撃チェーン分析について具体的に学ぶこともできます。攻撃チェーン分析では、攻撃者の行動をすばやく再現できるかどうかが、軽微なインシデントで済むか重大な侵害に発展するかの違いを生むこともあります。

真のTDIR機能の提供：理論から実践へ 

TDIRについて理解することと、それを実際の状況で効果的に運用できるかどうかは別問題です。多くの組織が、セキュリティツールに多額の投資を行っているにもかかわらず、検出の遅れ、非効率な調査、ばらばらの対応といった問題にいまだ直面しています。多くの場合、問題はテクノロジーではなく、統合、優先順位付け、戦略的焦点の欠如にあります。同じく2日目、先程のセッションに続けて開催したセキュリティセッション「How to Deliver a True TDIR Capability (真のTDIR機能を実現する方法)」では、導入に焦点を当てた実践的なアプローチについて解説しました。そのアプローチの根幹にあるのは、「すべての脅威はそれぞれに異なっており、すべてのアラートを同じように扱うことはチームの疲弊と非効率化につながる」という重要な真実です。組織固有の環境に適したTDIR機能を見極め、Splunkのリスクベースアラートを使ってリスクの高い脅威を優先し、ビジネスへの実際の影響に合わせた検出と対応を行う方法を紹介しました。 

また、これからのセキュリティ運用において効果的なデータ管理がいかに重要であるかについても説明しました。適切なデータの適切なタイミングでの収集から、コンテキストに合わせたデータの正規化と補強、検出範囲の拡大、コストの削減まで、さまざまな対策がその鍵を握ります。最後に、分析、自動化、UEBA、AIを単一のアナリストワークスペースに統合して、ツールの切り替えをなくし、調査を効率化して、MTTR (平均対応時間)、MTTI (平均調査時間)、MTTC (平均封じ込め時間)を短縮する方法を紹介しました。Splunkの最新のイノベーションは、このような統合プラットフォームを実現して、アナリストが対応を迅速化および効率化するために必要なあらゆる機能を提供します。

^{図2：Splunk Enterprise SecurityのAI Assistantを使ったインシデントの要約やクエリーの作成など} 

AIの活用が進むこれからの環境のセキュリティ 

AIは、組織を守る方法を変えるだけでなく、守るべき対象に根本的な変化をもたらしています。イノベーションと効率化を目的としたAIテクノロジーの導入が急速に進む中、従来のセキュリティツールでは保護できない、まったく新しい攻撃対象領域が生まれています。

3日目には、「Enhance Digital Resilience While Leveraging AI for More Robust Services (AIを活用してサービスの堅牢性を高めるとともにデジタルレジリエンスを強化する)」と題したセッションで、この重要な課題への対処方法を探りました。このセッションでは、セキュリティにおいて「強力な防御ツールであると同時に、保護が必要な新たな脆弱性でもある」というAIの二面性について考察しました。Cisco AI DefenseによるSplunkとシスコの統合を通じてAI環境を保護する方法を紹介し、AIワークロードのセキュリティ保護、AIシステムの異常や攻撃の監視、AI導入が組織の弱点にならないようにするための対策について説明しました。

^{図3：Cisco Defense AIとSplunkを使った、データとモデルの汚染、プロンプトインジェクション、その他の攻撃からの保護} 

最後に、防御側に優位をもたらすAIの使い方を探りました。AIと機械学習の機能を取り入れて攻撃をますます高度化させている攻撃者に対して防御側も同じテクノロジーを活用することで、対等な立場を築くことができます。さらに防御側が、AIを活用したツールによって、膨大なデータセットを分析し、マシンスピードで脅威を検出し、AIの提案に従って最適な対応を実行できるようになれば、決定的な優位性が得られます。  

セキュリティ運用の変革を今すぐ始めましょう

EMEA Digital Resilience Weekは、セキュリティ運用を、事後対応的で分断されたプロセスからプロアクティブで統合的なプロセスへと変革する、またとない機会を提供しました。

組織のセキュリティ運用へのメリットについてご質問がある場合は、営業窓口までお問い合わせください。

このブログはこちらの英語ブログの翻訳、山村 悟史によるレビューです。