サイバーセキュリティ分析(アナリティクス)とは、サイバーセキュリティへのプロアクティブなアプローチです。データの収集、集約、分析機能を使用して、サイバー脅威の検出、分析、軽減を行う重要なセキュリティ機能を実行します。脅威検出やセキュリティ監視などのセキュリティ分析ツールは、外部マルウェア、標的型攻撃、悪意ある内部者といったセキュリティインシデントや潜在的な脅威を対象に、それらの特定と調査を行う目的で導入されます。セキュリティ担当者はセキュリティ分析を行うことで、これらの脅威を早期に検出して事前に阻止できるようになります。つまり、脅威がネットワークインフラへの侵入を経て貴重なデータや資産を危険にさらしたり、組織に害を及ぼしたりする前に、食い止める機会を得られるのです。
セキュリティ分析ソリューションは、エンドポイントやユーザーの行動データ、ビジネスアプリケーション、オペレーティングシステムのイベントログ、ファイアウォール、ルーター、ウイルススキャナー、外部の脅威インテリジェンスやコンテキストデータなど、多数のソースからデータを集約します。これらのデータを結合して関連付けを行うことで、1つの主要なデータセットでの作業が可能になります。セキュリティ担当者は、妥当なアルゴリズムを適用するとともに、迅速な検索を作成して攻撃の兆候を示す指標を特定できるというわけです。また、機械学習テクノロジーを使用することで、脅威分析やデータ分析をほぼリアルタイムに実行することもできます。
この記事では、セキュリティ分析プラットフォームの機能とメリット、組織にとって最大のセキュリティ脅威、さまざまなセキュリティアプローチ、さらにセキュリティ分析を使用して攻撃をプロアクティブに予防するとともに環境を安全に保つ方法について説明します。
セキュリティ分析(SA)プラットフォームとは、ネットワークトラフィック分析プラットフォームしても知られています。行動機械学習や分析テクノロジーに基づいて、プロアクティブなネットワークセキュリティ機能を提供するツールです。セキュリティ機能には、さまざまなセキュリティイベント、攻撃、脅威パターンの検出、監視、分析が含まれます。これらすべてが同じデータ構造を基盤として、1つのアプリケーション内で連携しながら機能します。セキュリティ分析プラットフォームは拡張性にも優れており、ビジネスの成長に伴い拡大を続けるネットワークや増加を続けるユーザー数にも対応できます。
セキュリティ分析プラットフォームが備える機能はそれぞれ異なりますが、多くの場合は以下のようなものです。
セキュリティ分析プラットフォームによるメリットの1つは、管理者やアナリストが脅威環境や組織固有のニーズに基づいて既存の脅威モデルをカスタマイズしたり、まったく新しいモデルを作成したりできることです。関連するセキュリティ情報は、アクセスや利用が簡単にできるインターフェイスに見やすい形で表示されます。これにより、管理者は実用的なインサイトを手に入れ、優先順位を付けることで最も深刻な脅威から順に対応できます。
統合セキュリティ分析とは、機械学習、異常検出、予測リスクスコアリング、そしてデータサイエンスを組み合わせたセキュリティ分析アプローチです。セキュリティ脅威が存在する可能性を示す行動異常や疑わしいアクティビティを特定します。統合セキュリティ分析は、すべてのインシデントまたは検出されたアクティビティを対象として、統合された動的なリスクスコアを生成します。事前にプログラムされたモデルが用意されており、ユースケース、業種、脅威フレームワーク、コンプライアンス規制要件などの基準に従い、脅威を予測して検出するという仕組みです。これらのコンテキストに即したアラートがリスクを優先順位付けし、発生した脅威を検出します。そのため、統合セキュリティ分析は、サイバー攻撃者が損害を引き起こす前に、最も深刻なセキュリティ脅威の一部を軽減するのに役立ちます。
今は数多くのセキュリティ分析ツールが市場に出回っており、その多くは脅威を検出して優先順位を付けるだけでなく、対応戦略の策定、敵対的行動の分析、潜在的な攻撃に対する反復的な処理にも役立ちます。
標準的なセキュリティ分析ツールは、以下のような機能を備えています。
組織はハードウェア、ソフトウェア、または仮想アプライアンスを選択できますが、これらは既存のインフラストラクチャを補完するとともに、そこに統合できる必要があります。セキュリティ分析ベンダーの中には、高度な持続的攻撃など、特定の種類の脅威に特化しているところもあります。また、医療や金融サービスなどに特化したベンダーで、HIPAAやPCI DSSといった規制へのコンプライアンス監査違反が懸念となる、特定の業種を対象としている場合もあります。
適切なセキュリティ分析ツールを見極めるためには、自社に必要な導入の種類と機能セット、自社または業界が日頃から直面している脅威の種類、そして予算内で最適なソリューションの種類を考慮する必要があります。
企業の「攻撃対象」には、公開ポイントと非公開ポイントの両方が含まれます。これらは「攻撃ベクトル」と呼ばれ、組織のデータと、そのデータに人間がアクセスするためのポイントを作るインターフェイスとの間に位置しています。「攻撃ベクトル」とは、攻撃者やマルウェアプログラムがネットワークやシステムに侵入して、データを盗み出したり侵害したりするために辿る可能性のある経路を意味します。
攻撃者は数多くの手口を使って、悪意ある目的で組織のネットワークに侵入することができます。広がり続ける攻撃対象としてハッカーに最大のチャンスを提供しているものには、例えば以下が挙げられます。
データがハイブリッド環境やマルチクラウド環境に分散している場合、組織内外の脅威を検出して優先順位を付け、組織内のリスクレベルを判断するための有意義なセキュリティインサイトを手に入れることがセキュリティチームにとって不可欠となります。しかし、データセットの分散化やサイロ化が進んでいるため、セキュリティ環境の全体像を把握したり、十分な防御策を講じるための適切なインサイトを手に入れたりすることが、セキュリティチームには困難となっています。
セキュリティ分析アプローチを使えば、ハイブリッド環境やマルチクラウド環境に伴って生じる可視性とデータに関する課題を、以下の方法で克服できます。
多くの組織では、環境内のセキュリティツールの数が急速に増えています。そのほとんどは、欧州連合の一般データ保護規則(GDPR)やカリフォルニア州消費者プライバシー法など、ますます厳しくなるコンプライアンス規制に対応するためのものです。
本来ならばセキュリティ分析が各チームの助けになるところですが、ここ数年の間にセキュリティソリューションやサービスが急増したことで、環境がさらに複雑なものになりました。その結果、セキュリティ脅威の特定と対応を遅延させる可能性のある障害や盲点が生じています。また、ばらばらで多種多様なポイントソリューションが急増したことで、CISO(最高情報セキュリティ責任者)は購入に対する適切な投資利益率(ROI)を示すうえで新たな課題に直面しており、将来のセキュリティインフラへの投資に疑問が出されている状況です。
その結果、運用を合理化し、リスクを特定して脅威に対処する時間を短縮し、セキュリティ投資のROI全体を向上させる手段として、多くの組織でセキュリティ環境の簡素化が進められています。
組織のデータを侵害や攻撃の危険にさらす可能性のあるセキュリティ脅威は、数多く存在します。すべてをカバーするとは言えませんが、ほとんどの組織が遭遇すると思われる最も重大な脅威をいくつかご紹介します。
プロアクティブなサイバーセキュリティアプローチとは、攻撃を受ける前に、セキュリティ脅威や脆弱性を前もって特定、分析して対処するアプローチです。このアプローチについては、サイバーキルチェーンやMITRE ATT&CKフレームワークなどの確立されたフレームワークが用意されています。セキュリティ担当者はそれらを利用することで、脅威の行動をさまざまなコンテキストで予測し、脅威に先手を打って対応することができます。
サイバーキルチェーンとは、偵察からデータ流出に至るまで、サイバー攻撃のさまざまな段階について順を追って説明したものです。セキュリティアナリストやセキュリティ担当者が、攻撃者の行動や脅威のパターンを分析し、理解するのに役立ちます。これは元来、武器メーカーであるLockheed Martin社が軍事防衛メカニズムとして考案したものです。今や進化を遂げて、マルウェア、ソーシャルエンジニアリング、APT、ランサムウェア、インサイダー攻撃などの幅広いセキュリティ脅威を予測して特定する手段へと発展しました。
サイバーキルチェーンは、中核となる8つの段階で構成されます。これらはサイバー攻撃のアクティビティを時系列に並べたものです。
MITRE ATT&CKフレームワークは、実際の観測に基づいて攻撃の振る舞いを包括するナレッジベースとして一般に公開されています。MITRE ATT&CKフレームワークは、非営利組織のMITRE社が、米国政府、産業界、学術機関と協力して2013年に作成しました。ATT&CKは「Adversarial Tactics, Techniques and Common Knowledge (敵対的戦術、技法、共有知識)」の略で、ネットワークへのサイバー攻撃で一般的に用いられる戦術と技法と手順(TTP)をまとめた資料です。ただし、特定の攻撃パターンや攻撃手順を示すものではありません。
セキュリティ分析ツールとテクノロジーを使うと、分散した多数のソースから収集した幅広いデータを分析できます。そのため、さまざまなアラートの異常やセキュリティインシデントを簡単に結び付けて敵対的な行動を認識でき、検出と対応の高速化に役立ちます。
セキュリティ分析プラットフォームを使えば、以下のようなメリットが得られます。
セキュリティ分析には、ネットワークの可視性の向上から脅威の検出、従業員の監視に至るまで、関連する多くのユースケースがあります。ここでは、最も一般的なセキュリティ分析のユースケースをいくつかご紹介します。
攻撃対象が拡大するとともに脅威の環境が複雑さを増すにつれ、組織にとってデータ管理の困難さは必然的に高まりました。攻撃者や脅威が検知をすり抜けてネットワークに侵入する余地が広がることになります。セキュリティ分析は、この問題に対応するものです。セキュリティ分析により、データ全体を集約して関連付けや分析を行うことで、脅威の環境を明確かつ包括的に可視化できます。その結果、データ侵害や組織への実害が発生するよりも十分に前の段階で、新たな攻撃を確認して防止できるようになるのです。