横帆帆船が主流だった時代、海では見張り番が常にマストを登って見張り台に送られ、そこで望遠鏡を使って水平線を監視し、問題の兆候を探していました。見張り番は、水平線の隅々まで脅威が潜んでいる海を監視していたのです。監視は人類が誕生した頃から行われている慣行で、現在もセキュリティオペレーションセンター(SOC)でその考え方は生き続けています。SOCでは現代の見張り番がデジタルの見張り台を操作しながら危険に目を光らせています。これがサイバーセキュリティ監視です。
本記事では、サイバーセキュリティ監視とは何か、その仕組み、そして脅威が増大する今日の環境において強力なセキュリティ体制を維持するためになぜサイバーセキュリティ監視が重要なのかを説明します。サイバーセキュリティ監視は、脅威や攻撃を検知し、迅速で効果的な対応をとる上で重要な役割を果たしています。つまり、企業の包括的なITセキュリティ戦略の中核を成しています。
サイバーセキュリティ監視とは何か?
サイバーセキュリティ監視とは、ネットワーク、システム、アプリケーションを監視し、潜在的な脅威をリアルタイムに検知および対応し続けるプロセスです。侵入検知システム(IDS)、ファイアウォール、セキュリティ情報およびイベント管理(SIEM)ソリューションといった専門的なツールを使用して、データを分析し、異常を特定し、監視によりサイバーリスクが高まる前に軽減します。
しかし事態はそんなに単純なものではありません。サイバー脅威は種類も多様で危険性も伴います。また、ステルス性が非常に高い場合が多く、ほんのわずかな異常でも深刻な脅威につながる恐れがあります。同時に誤検知や「有効な信号と妨害する雑音の比率」の問題も多く、SOCチームは対応しきれません。すべての攻撃対象領域を同じレベルで注意深く監視することは不可能です。監視の優先順位を設定するのも1つの対策として考えられますが、その場合、攻撃が発生した後に初めて脆弱性が明らかになる領域が生じてしまい、この領域を見逃すリスクが伴います。
サイバーセキュリティ監視の仕組み
サイバーセキュリティ監視のプロセスは、データの収集から始まります。サイバーセキュリティ監視ソリューションは、システムやネットワーク、クラウドおよびローカルのインフラストラクチャを監視し、分析をしたり、時には対応もしながらデータを収集します。サイバーセキュリティ監視で使用されるデータソースは多岐にわたります。しかし一般的に、次のようなソースからデータを取り込みます。
デバイスログ:たとえば、セキュリティインシデントおよびイベント管理(SIEM)ソリューションがコンパイルや分析をしたもの
ネットワークトラフィック:ネットワークセキュリティ監視ソリューションに情報が送られます
侵入検知(IDS)および侵入防止(IDP)システム
ファイアウォール
サイバーセキュリティ監視ソリューションは、これらのソースから集められたデータフィードを分析します。脅威や攻撃を検出した場合には、SOCに警告します。ランサムウェアの脅威を迅速に検出できるとさまざまなメリットがありますが、特にランサムウェアの拡散防止が可能です。
企業のIT環境におけるセキュリティ監視の重要性
サイバーセキュリティ監視は、企業のIT環境を守るために間違いなく「必須」のアクティビティです。なぜでしょうか? その理由は、サーバーセキュリティ監視がサイバー脅威に対して防御の最前線にいるからです。確かに、脅威に注意を払わなければ、デジタル資産を保護できません。未然に検知できなければ、事後対応しかできなくなってしまいます。では、未然の検知は頻繁に行われているにもかかわらず、なぜ問題は悪化するのでしょうか?
セキュリティ監視が不十分な場合、どのようなリスクと結果が生じる可能性があるのでしょうか? システムやネットワークのサイバーセキュリティ監視への投資が不十分な場合、リスクにさらされる危険性が高まります。検出の取り組みが不十分な場合、サイバー攻撃手段による実際の悪影響はさらに悪化します。データ侵害、盗聴、ランサムウェア、悪意のある妨害行為、サービス拒否(DoS)攻撃の検出など、リスクが高まります。
サイバーセキュリティ監視の種類
サイバーセキュリティ監視には複数のモードがあります。主なものは次の3種類です。
ネットワークセキュリティ監視: 攻撃の初期兆候が最もわかりやすく現れる場所がネットワークです。このため、ネットワークトラフィックとアクティビティの監視は、有効な対策です。
セキュリティリスク監視:リスク状況の評価や管理は、ネットワークトラフィックやデバイスログの積極的な監視とはアクティビティの種類が異なります。どちらかといえば、リスクの評価や管理は、IT環境がどこでリスクにさらされているかを判断する反復的あるいは継続的なプロセスです。たとえば、メールは脆弱性が露呈しやすい経路であるか、データリポジトリはランサムウェアにどの程度さらされているか、などを評価および管理します。セキュリティリスク監視を使用すれば、リスクの重大度を測定してリスク軽減策に優先順位を付けることができます。
アクティブな脅威の監視: 多くの場合、サイバー脅威は、サイバーセキュリティ監視ツールで検出できるようなデジタル信号を発することなくIT環境下に潜んでいます。たとえば、マルウェアがストレージ装置上の破損したファイル内に潜んでいて、アクティベーションされるのを待っている可能性があります。たとえば、保存されたコードを使って「シグネチャー」を検索するなど、こうした脅威をリアルタイムに検出することで、悪い影響が広がる前にリスクを軽減できます。
効果的なサイバーセキュリティ監視システムの主な機能
効果的なサイバーセキュリティ監視システムは、あらゆる堅牢なセキュリティ態勢に不可欠な要素です。脅威をリアルタイムで検出および分析し、それらに対応できる一連の機能を網羅している必要があります。ここで、高性能なサイバーセキュリティ監視システムに特徴的な機能をいくつか紹介します。
包括的な可視性: 異常や潜在的な脅威を効果的に検出するために、すべての工程をエンドツーエンドで一元的に把握する必要があります。その範囲は、クラウド環境やリモートデバイスを含むあらゆるネットワークトラフィック、ユーザーアクティビティ、アプリケーション、エンドポイントにおよびます。
リアルタイムな検出とアラート: 潜在的な脅威を発見したら即時に脅威を特定してセキュリティチームに通知します。頻繁な誤検知によってアラート疲労を起こさないよう、アラートメカニズムはきめ細かく調整しなければなりません。
脅威インテリジェンスの統合: 効果的なシステムには、最新の脅威インテリジェンスが組み込まれています。既知の攻撃パターンや侵害の痕跡(IoC)を認識することで、新たな脅威に対して先を見越した防御を推進します。
行動分析: 通常のアクティビティのベースラインプロファイルを活用しながら、セキュリティインシデントの可能性を示す逸脱を検出します。その際、行動分析と機械学習技術を使用して悪意のあるアクティビティの些細な兆候を見分けます。
自動応答: 脅威が検出されると、事前に定義された応答プロトコルを開始します。プロトコルには、脅威の影響を受けたシステムの隔離、不審なトラフィックのブロック、脅威を封じ込めるためのスクリプトの実行などが含まれます。
データ保持とフォレンジック能力: ログとデータを長期間保持することは、インシデント後の調査やデータガバナンスポリシーの遵守に不可欠です。このログやデータがデータ侵害に至るまでの一連のイベントを分析する上で役立ちます。
カスタマイズと拡張性: 組織固有のセキュリティポリシーに合わせてカスタマイズでき、ITインフラストラクチャの成長や変化に応じた拡張性を備えている必要があります。
コンプライアンスとレポート作成: 必要な管理策や手順の順守について詳述したレポートを生成することで、規制基準のコンプライアンスを合理化します。
ユーザーとエンティティの行動分析(UEBA): ユーザーの行動をプロファイリングおよび監視することで、従来のセキュリティ対策では発見が難しい場合が多かったインサイダーの脅威や侵害されたアカウントを検出できます。
こうした機能を組織のサイバーセキュリティ監視システムに組み込むことで、脅威を迅速に検出し対応するツールを備え、リスクを軽減し、サイバーインシデントによる損害の可能性を最小限に抑えることができます。また監視システムは、セキュリティ・オーケストレーション・自動化(SOAR)プラットフォームやSOCインシデント対応ワークフローのような、インシデントに対応するプラットフォームや計画と統合させるとよいでしょう。
セキュリティ監視のプロセス
サイバーセキュリティ監視には3段階のプロセスがあります。
データ 収集
データ分析
対応
データ分析は、少し難しい問題が発生しやすい段階です。その理由の1つは、調査すべき非常に多様なデータが大量に存在することにあります。それに加えて、何を探そうとしているのか見失いやすくなります。探している対象が明確な場合もあります。たとえば、DoS攻撃の場合は、サービス要求を追跡するでしょう。要求が定義されたしきい値を超えている場合、DoS攻撃が開始されていることを示唆しています。
それ以外の場合には、脅威の検出は非常に難しくなります。たとえば、高度標的型攻撃(APT)は、積極的な脅威監視を回避するように設計されています。攻撃の兆候と通常のIT運用を区別するのは非常に難しいです。
そのため、高度な分析と人工知能(AI)が重要な役割を担ってきます。デバイスのCPUアクティビティが、通常オフの時間帯に高レベルになっているなど、一見些細な異常が、差し迫っている攻撃の兆候を示している場合があります。重要なのは、その些細な異常に気づくことです。
通常は、SOCアナリストのような人間の専門家が、判断を下す上で非常に重要な役割を果たします。セキュリティリスク監視ソリューションは、問題にフラグを立ててSOCに警告することが可能です。ここでいくつかの課題が浮かび上がります。1つはシンプルに、人間が燃え尽き症候群になってしまうことです。SOCアナリストは、1日に何百ものアラートに対応することになります。 すると、深刻な脅威が簡単に検知をすり抜けてしまう可能性があります。また、経験豊富なセキュリティ専門家のほとんどが話すように、すべての脅威が異常を引き起こすわけではなく、またすべての異常が脅威を示しているわけでもありません。
こうした背景から、サイバーセキュリティ監視の対応フェーズで自動化は非常に役立ちます。人間には気づけないことも、機械なら気づくことができるかもしれません。さらに機械の場合、侵害された疑いのあるデバイスを自動的に隔離またはシャットダウンさせるルールを定めれば、それに従って動くこともできます。SOARプラットフォーム上であればそのプロセスを実現できます。
サイバー脅威の監視とインシデント対応
インシデント対応は通常、サイバー脅威の監視とは分けて考えます。しかし、監視がインシデント対応のきっかけになります。監視ソリューションがアラートを発すると、インシデント対応プロセスが開始されます。
しかしそのプロセスの内容はさまざまです。SOCアナリストがアラートの内容を確認し、そのアラートは無視すると判断した場合のように、最小限のプロセスで終わることもあるでしょう。一方インシデント対応の場合は、プロセスがより複雑化する可能性があります。 脅威や攻撃を最初に発見すると、アナリストがその深刻度を評価する前に、データエンリッチメントを必要とする場合が多くみられます。
たとえば、監視ソリューションが脅威のシグネチャーを検出した場合、担当者あるいは何らかのソフトウェアが脅威インテリジェンスデータベースでその脅威をすぐに検索し、即時の対応が必要な脅威か優先度の低い脅威かを判断します。監視ソリューションとインシデント対応のワークフロー/ソリューションは、エンリッチメントされたデータが新しいワークフローにつながり、新たな対応をさらに監視する、という形でエスカレーションのサイクルを回しながら相互作用しています。
監視によって非常に重要な事態を早期に検出できます。たとえばランサムウェアでは、一瞬一瞬が重要になります。目標は、マルウェアがデータの暗号化を開始する前に攻撃を検出し、それに対応することです。優れた監視ツールを使えば、この目標を達成しやすくなります。
データ侵害とセキュリティインシデントへの監視による対処
サイバーセキュリティ監視は、データ侵害やその他の深刻なセキュリティインシデントに対して防御の最前線にいます。監視を行うことで、今にも起きそうな侵害や進行中の侵害の兆候を捉えることができます。また、脅威を監視していれば攻撃が実行される前に攻撃経路の発見も可能です。たとえば、ファイアウォールのトラフィックを監視している際に、承認されずにデータが抜き取られていることに気づくこともあるでしょう。あるいは、クラウドリポジトリやダークウェブ上のサイトを監視している際に、そこにあってはならない企業情報を見つけたりするかもしれません。
サイバーセキュリティ監視におけるベストプラクティス
どのシステムにもある程度のサイバーセキュリティ監視は備わっています。そうしたセキュリティ機能は文字通り、ファイアウォールやネットワーク管理システムなどの多くのツールに組み込まれています。しかし、サイバーセキュリティ監視を正しく機能させているベストプラクティスでは、監視のスイッチを入れる前から検討を始めています。
つまり、何を監視するかを決めることが重要な第一歩なのです。どこで最大のリスクにさらされているか、そしてどのデジタル資産が最も保護を必要としているかを慎重に考えることが、ベストプラクティスです。もしかしたら御社では、CRMソリューションが最も価値のある資産であるとわかり、それに影響を与える脅威に監視を集中させる必要があるかもしれません。また、監視設定の定期的な見直しも大切です。継続的に改善しながら、サイバーセキュリティのトレンドを常に把握しておくことをお勧めします。
サイバーセキュリティ監視における課題
サイバーセキュリティ監視には課題もあります。最も一般的な課題は、分析の際に適切なデータフィードを選択することです。また、有効な信号と妨害する雑音の比率を安定化させることも課題の1つです。アラートの解釈を人に依存しすぎていることも、燃え尽き症候群や非効率性の観点から、多くのセキュリティチームの悩みの1つです。サーバーセキュリティの監視に自動化は不可欠です。最善策は、高度な自動化とカスタマイズが可能で、インシデント対応に向けてSOARのようなシステムと統合できるソリューションです。
今こそ監視のあり方を改善する時
おそらく、御社でもすでに何らかのサイバーセキュリティ監視を導入しているでしょう。もしかしたらより優れた監視方法があるかもしれません。監視方法は少しずつ改善していくことができます。しばらく監視設定を更新していない場合は、何を監視し、アラートをどのように処理しているのか、あらためて見直してみてください。リスクが最も高い領域に着目し、その領域に応じて監視計画を立ててみましょう。より良い監視ができている企業の多くは、より良いセキュリティ態勢を整えています。さあ、始めましょう!