「DXに必要なセキュリティ運用のモダナイズ」

広瀬 努 氏
【講演者】
Sumo Logicジャパン株式会社
マーケティング ディレクター
広瀬 努 氏

はじめに

弊社は米国に本拠を置くSaaSベンダーであり、これまでセキュリティ関連のプラットフォームやアプリケーションをSaaSで提供してきた。今回はセキュリティの大きなトレンドのひとつであるセキュリティ運用のモダナイズ、そしてDXにおけるセキュリティ運用のモダナイズの重要性についてお話しできればと考えている。

データの民主化

現在、デジタルトランスフォーメーション(DX)ということが盛んにいわれる。DXにおいて重要な要素の1つといわれるのが、データの民主化だ。データの民主化とは、誰もがデータを分析し、その分析結果を事業に反映できるという状態をさす。

DXにおいてデータは非常に重要なものである。しかし、従来データの利活用はデータアナリストを代表とする一部の専門家に依存しており、分析結果を得るにはこれらの専門家の手を借りなければならなかった。しかし、現在では技術の進歩により、各部門が自由にデータを分析し、インサイトを得ることができるようになった。データの民主化により、専門家以外の人間も簡単にデータを扱えるようになったのだ。そして、こうしたデータの民主化は、セキュリティの運用においても非常に重視されている。

以上の前提をふまえ、データ運用、セキュリティ運用のモダナイゼーションの重要性について踏み込んだ話をすることにしよう。

DX 多岐にわたるシステム

DXを進めていく上で避けられないのが、クラウドの利用である。そして、ここで課題になるのがセキュリティ上の問題だ。金融業界でも、すでに日本銀行が「クラウドサービス利用におけるリスク管理の注意点」というドキュメントを出している。その存在をご存じの方も多いのではないか。日本銀行が指摘しているように、クラウドサービスは利用せざるを得ない存在になりつつある。しかし、これだけクラウドを使うとなると、どうしてもセキュリティ上の課題が出てくる、というのが実状だ。

クラウドは利便性が高く、従来のシステムにはなかった長所がある。しかし利用するシステムが増えれば増えるほど、クラウドを頻繁に利用すれば利用するほど、設定の不備に伴う情報流出のリスクが高まるのは事実である。また新しい技術が投入されることで攻撃対象となる領域がどんどん拡大していくことも考えられる。新しい技術を採用すれば、その技術を理解できるエンジニアはもちろんのこと、その技術に必要なセキュリティを理解するエンジニアを用意する必要がある。しかし、これらのスキルを持つ人材を確保することは多くの企業にとって容易なことではない。

Sumo Logicのソリューション

我々が提供しているプロダクトは、上記のようなDXの推進に伴うクラウド利用によって引き起こされたセキュリティ上の課題に対応するためのソリューションだ。近年新しい技術がふえている中、プロテクトが効きにくい部分も増えている。そのため、重要となるのがインシデントレスポンスをいかに効率よくやるかということである。我々もインシデントレスポンスを強化するという使命のもと、ソリューションの提供を行っている。

たとえば、Sumo Logic Enterprise Securityはクラウド・オンプレミスを問わず、ログを集めて統合管理、ダッシュボード上に可視化した上で、分析を行い、脅威の検出などを行うソリューションだ。

さらに、Cloud SIEM、Cloud SOARもSaaSのアプリケーションとして提供している。これらのアプリケーションによって、我々としては自律型SOCの実現を目指している。

そのうちCloud SIEMは各種製品から出力されるログやアラートをリアルタイムに自動で相関分析を行う。これによりラテラルムーブメントや脆弱性を突かれて侵入された脅威、不注意な設定ミスや、不正な行為などリスクを検出することができる。検出したインシデントやアラートがどの様なものか理解しやすくするための詳細情報の付加も自動で行う。専門家でなくともインシデントの内容を理解できるように工夫されており、人手不足の解消にもつながる。クラウドネイティブなSaaSであることから、従来のオンプレミス型のモノシリックな環境のものに比べると、ハードウェアのキャパシティの影響を受けない、複数の部門が異なる目的でデータを分析したり可視化しても、パフォーマンスが劣化しにくいため、データの活用効果が高まるといったメリットがある。

一方、Cloud SOARは、各種セキュリティ製品のアラートやCloud SIEMが検出したインシデントへのレスポンスを自動化するためのソリューションである。メール攻撃のように頻繁に起きるアラートに対する定型的な業務のワークフローをあらかじめプレイブックに登録しておくことで、自動的に必要な措置を講じることができる。

弊社では、これらのCloud SIEM、Cloud SOARをも提供することで、セキュリティ運用の自動化を支援している。

セキュリティ運用のモダナイズ

現在のクラウド環境は、旧来のモノシリックな環境に比べてマイクロサービス化されている。我々の提供するプラットフォームも各機能に必要なモジュールを完全にマイクロサービス化しており、高いスケーラビリティ・高速性を確保している。それにより圧倒的なパフォーマンスを実現している。

旧来のモノシリックな環境、あるいはSaaSでもモノシリックな環境をリフト&シフトしただけのものについては、マイクロサービスのようなスケーラビリティは実現できない。そのためパフォーマンスに限界がきたり、コンポーネントのアップデートをお客様自身で行ったりする必要が出てくる。

セキュリティのモダナイズを考える上では、処理を速くすることが重要だ。そこで求められるのが大量のログを処理するために、いわゆる「モダンなログ収集」を行うことである。モダンなログ収集の要件としては、次の3つがあげられる。

1つ目の要件は、さまざまな構造のデータに対応することだ。ログの構造は各製品によってまったく違う。これらのバラバラな構造のデータを取り込んで分析する必要がある。

2つ目の要件はスケーラビリティだ。クラウドの場合、いつどんなスパイクが起きるか読めないところがあるため、スパイク時に破綻してしまうようなことがあるとデータ分析がストップし、業務の遂行力が落ちてしまう。スパイク時にも破綻しないだけのスケーラビリティが求められる。

3つ目の要件は高速なデータ分析だ。データの民主化のところでもお話ししたように、誰もがデータの分析をできるようになると、分析結果が遅いとそれだけで使い勝手が落ちてしまう。利便性を高めるためにも、高速なデータ分析をできる環境を整えることが重要だ。

これら3つの要件を満たすのが弊社も採用しているようなクラウド型のデータ分析プラットフォームである。しかもクラウド型のデータ分析プラットフォームには、安全性・パフォーマンスともに高いという特徴がある。また、特に弊社の場合はデータの取り込み量の平均値を元に料金を決めるため、リソースにムダが生じにくいというメリットもある。クラウド型にはコスト面でも優れた点があるのだ。旧来のモノシリックな環境と比べて、3割程度コストが減ったというお客様もいるほどである。安全性、パフォーマンス、コストの面で、旧来のモノシリックなシステムに代えて導入するメリットは大きいといえるのではないか。

おわりに

セキュリティオペレーションをモダナイズするためには、客観的なデータをもとに現状を把握するデータドリブン、変化し続ける環境や多種多様なデータに柔軟に対応するアダプティブ、現場の負荷を減らすための自動化という、3要素が重要であると考えている。これらの3要素をクリアしていくうえで我々のソリューションがお役に立てば幸いだ。

◆講演企業情報
Sumo Logicジャパン株式会社:https://www.sumologic.jp/