2024年セキュリティの現状:競争が激化するAIの活用
先進的なサイバーセキュリティ対策を推進する組織がどのように課題を克服し、AIを活用してイノベーションを推進し、デジタルレジリエンスを強化しているかをご確認ください。
Splunkは、Forrester、ガートナー、IDCの3社からSIEMのリーダーに選出されました。最新のマジック・クアドラントレポートをダウンロードして、その理由をご確認ください。ダウンロードはこちら→
Splunkのセキュリティ製品とソリューションについて詳しくは、以下の各Webサイトをご覧ください。
今日、企業にとってセキュリティは売上よりも重要な要素です。契約更新を最大限増やすために、製品を売ったら終わりではなく、ずっと売り続ける必要があります。しかし、セキュリティ侵害やサービス停止を起こしてしまえば、顧客やユーザーは間違いなく競合他社の製品を検討し始めるでしょう。
データとネットワークを窃盗、詐欺、不正アクセスから保護するには、強力なサイバーセキュリティが必要です。そこで、あらゆる業務にセキュリティを組み込むために、セキュリティの基本概念「CIAトライアド」について説明します。これは、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)という3つ原則の頭文字をとったものです。
CIAトライアドは、情報セキュリティ戦略の指針として、セキュリティフレームワークの実装やサイバー脅威インテリジェンスなどの分野で必要とされる情報を提供します。セキュリティエキスパートに聞いたところ、この概念は現在でも非常に有用とのことですが、多少のアップデートは必要かもしれません。
では、さっそく見てみましょう。
詳しく見ていく前に、まず3つの要素について簡単に説明しましょう。
CIAトライアドでは、セキュリティチームがリスクを効果的かつ定量的に分析できるように、あらゆる組織が保護すべき情報の主要な属性を明らかにしています。ただ、業界ではこの概念をアップデートする必要性について議論があり、その件については後ほど取り上げます。
そもそも、セキュリティがなぜそれほど重要なのか、またセキュリティの実現がなぜそれほど難しいのか、疑問に思うかもしれません。
Google Trendsでチェックすると、「cybersecurity」(サイバーセキュリティ)と「it security」(ITセキュリティ)という言葉でオンライン検索する人は、かつてないほど増えています。グラフのピーク時に検索数が最大に達しています。一方、「computer security」(コンピューターセキュリティ)で検索している人は減っていますが、これはおそらく、コンピューター、携帯電話、ストリーミングテレビ、家庭用デバイス、スマートデバイスなど、インターネットの利用履歴が残る場所であれば、どこでもセキュリティの影響を受けることがよく知られるようになったためでしょう。
もっとも、個人で所有しているデバイスを保護するのは、それほど難しくありません。パスワードマネージャー、多要素認証、USBメモリー、キーフォブ、VPNなど、さまざまな手段があります。しかし、もし自分が大規模な多国籍企業の情報セキュリティ責任者(CISO)だとしたら、どうでしょうか。セキュリティの取り組みははるかに困難になります。
では、サイバーセキュリティの基本を見ていきましょう。
BARR Advisory社のLarry Kinkaid氏によれば、最初に取り組むべきは機密性であり、それには相応の理由があります。
「セキュリティ戦略では、データを盗み見られないようにするための対策が最重視されるのが一般的です。最も基本的なレベルの対策では、ユーザー認証によって本人確認を行うことを求め、そのユーザーがデータの「読み取り」を許可されているかどうかをシステム側で判断します。暗号化が長い間使用されている理由も同じで、移動中のデータと保管中のデータの両方の保護を強化することが狙いです」
つまり、機密性とは、情報を不正アクセスから保護することと言えるでしょう。対象となる情報の種類は以下のように多岐にわたります。
問題は、機密データを不正アクセスから保護するにはどうすればよいのか、ということです。そこで、まず機密保持に失敗するケースを取り上げてから、機密性を確保する方法を説明しましょう。
データ漏えいは、権限を持たない者が機密データにアクセスできる状況で発生します。その原因はさまざまであり、データ侵害、内部脅威、ソーシャルエンジニアリング攻撃、さらには総当たり攻撃があります。
たとえば、データ侵害は、クレジットカード番号や個人情報(PII)などの機密情報が格納されたデータベースに攻撃者がアクセスすることで発生します。内部脅威は、従業員が不注意または意図的に機密情報にアクセスし、その情報を流出させることで発生します。
ソーシャルエンジニアリング攻撃は、攻撃者が従業員を騙して、ログイン認証情報などの機密情報を提供させるというもので、よくあるのがフィッシングです。
いずれのケースでも、情報の機密性が損なわれるため、権限のない個人が情報にアクセスし、その情報を使用して損害をもたらす可能性が生じます。たとえ損害が発生しない場合でも、対処すべき脆弱性です。
(もう1つの基本的なセキュリティ原則については、「脆弱性、脅威、リスク」をご覧ください。)
機密性を確保するために、企業が実行できる対策がいくつかあります。
次に取り上げるのは完全性です。完全性(データの完全性)には、データの正確性と一貫性、およびシステムの完全性と信頼性があります。データについては、元のデータと比べて、欠落や誤りがないことを意味します。システムについては、そのシステムが破損したり、改ざんされたり、不正に変更されたりしていないことを意味します。
データとシステムの完全性を確保することで、自信を持って確実にデータに基づく意思決定を行えるようになります。さらに、企業に損害をもたらす可能性がある業務上のエラー、違反、損失の防止にも役立ちます。
従来、完全性は機密性の次に位置づけられることが多かったですが、最近のアプローチでは、この2つが密接に関連していることが多いです。
データに変更が加えられると、完全性が損なわれます。具体的には、以下のようなさまざまな状況が考えられます。
完全性を確保するには、定期的なアクセスレビューの実施や最小権限の原則の適用など、論理的なアクセス制御から始めることをお勧めします。このような制御では、特定の個人にのみ情報へのアクセスを許可することで、その情報の完全性を確保します。Kinkaid氏は、完全性の確保にはデータの暗号化が役立つ可能性があると話しています。
「暗号化は機密性を確保するためのものと思われがちですが、移動中のデータが変更されるのを防止したり、否認防止の原則を徹底したりするためにも利用できます」
データに変更や破損がないか確認するには、チェックサムや暗号ハッシュを使用できます。また、トランザクションログや監査証跡を使用することで、データやシステムに対する変更を追跡し、不正または不適切な変更を検出して修正できます。
最後に、定期的なバックアップやアクセス制御など、データ管理のポリシーと手順を実施することで、データとシステムの完全性を確保できます。
可用性とは、天災(自然災害など)に見舞われたり、意図的なサイバー攻撃を受けたりした後でも、必要なときにリソースにアクセスできる能力を意味します。しかし、この定義は絶えず変化しているように感じているのではないでしょうか。実際、Kinkaid氏は、概念としての「可用性」はこの数年で大きく変化していると考えています。
今日、サービスの稼働時間と可用性に関する話題では、必ずと言っていいほど可用性が重要視されています(ご存知のように、自然災害やセキュリティ上の事件に見舞われるケースは増えています)。可用性は、以下のような概念において重要な役割を果たします。
Kinkaid氏は、次のように指摘しています。「こうした計画は以前から存在していましたが、今でははるかに体系化されて完成度が高まっており、実質的にお客様向けに作成されていることも少なくありません。可用性に対応する強力なセキュリティプログラムは、付加価値をもたらし、競合他社との差別化を実現します」
可用性の低下につながる一般的な原因として、ハードウェアやソフトウェアの障害、ネットワークの停止、停電、自然災害、サイバー攻撃などが挙げられます。
ハードウェア障害が発生すると、サーバーがクラッシュし、データやサービスにアクセスできなくなる可能性があります。ネットワークが停止すると、インターネット経由でデータやシステムにアクセスすることが不可能になります。停電が起きると、電力に依存するデータやシステムにアクセスできなくなることがあります。洪水や地震などの自然災害は、データセンターやその他の重要なインフラストラクチャに物理的な損害を与え、データやシステムへのアクセスを妨げる可能性があります。サービス拒否攻撃などのサイバー攻撃を受けると、大量のトラフィックでシステムが過負荷となり、正規のユーザーがアクセスできなくなることがあります。
可用性を確保するには、ネットワーク構築やソフトウェア開発のさまざまな領域で可用性を組み込むことが欠かせません。
CIAトライアドは、現在でも有用な基本原則です。しかし、セキュリティ業界で起きている2つの議論をご紹介しましょう。1つは情報セキュリティの新たな特性をこの概念に組み込む必要性について、もう1つは誰もがデジタルユーザーである時代におけるこの概念の実用性についてです。
当然ながら、セキュリティエキスパートは、コンピューターセキュリティがCIAトライアドにとどまらないことを認識しています。ISO 7498-2では、コンピューターセキュリティに関して、さらに以下の2つの特性を定めています。
業界では、否認防止や物理的なセキュリティなどの要素をCIAトライアドに組み込むべきだという主張もあります。しかし、StackAware社の創設者でありCEOを務めるWalter Haydock氏は、冗長になることを理由にこの主張に異議を唱えています。
「発電所の運用技術や埋め込み型の医療機器など、生命の維持に不可欠なシステムを正常に動作させるには、データの完全性と可用性が何よりも欠かせません。その結果として、生命や身体が守られるのです。また、軍事や諜報活動の分野では、データの機密性が生死を分けることが少なくありません」
サイバー脅威とテクノロジーが絶えず進化している中で、「CIAトライアドは情報セキュリティにとってシンプルかつ効果的なフレームワークとして機能し続けている」とHaydock氏は指摘しています。
サイバーセキュリティをNOC (ネットワークオペレーションセンター)やSOC (セキュリティオペレーションセンター)に任せておけば済む時代は過ぎ去りました。5年契約で利用するエンタープライズベンダーを決定する際も、運動量を記録する携帯アプリをダウンロードする際も、あらゆる意思決定においてサイバーセキュリティを考慮することが必要になっています。多数のサードパーティベンダーやソフトウェアに依存している現代の職場では特に重要なことです。
つまり、企業内の誰もが、等しくセキュリティに責任を負う必要があるのです。ネットワークセキュリティエンジニアのAndreas Grant氏によれば、内部脅威の存在は誰もが知る事実であり、サイバーセキュリティの問題を深刻化させています。CIAトライアドでは、企業の従業員のようなエンドユーザーは考慮されているのでしょうか。Grant氏は次のように指摘しています。
「CIAトライアドでは、経験の浅いエンドユーザーに対応するための準備は一切考慮されていません。初めから悪意を持った人は別として、経験の浅いユーザーのためにフェイルセーフを用意する必要があります。サイバーセキュリティインフラストラクチャを構築する際は、そのユーザーと、サイバーセキュリティに関する彼らの基本的な理解度を考慮に入れるべきです。少なくとも大企業では、内部脅威を防ぐために、何らかの社内トレーニングを行わなければなりません。しかし残念ながら、このような対策は、情報漏えいが起きた後の選択肢と見なされがちです」
Grant氏は「最終的にはエンドユーザーの行動も考慮しなければならない」と考えており、次のように続けます。「これまで非常に強固なインフラストラクチャが壊滅的な被害に見舞われるのを何度も目にしてきましたが、その原因はもっぱら従業員の知識不足にありました」
確かに、この記事で説明したベストプラクティス(すべての関係者に対する継続的なトレーニングなど)に従えば、可能な限り強固な体制を築くことはできるでしょう。それでも、セキュリティエキスパートの誰もが知っているように、100%のセキュリティは不可能です。
このブログはこちらの英語ブログの翻訳です。
この記事について誤りがある場合やご提案がございましたら、ssg-blogs@splunk.comまでメールでお知らせください。
この記事は必ずしもSplunkの姿勢、戦略、見解を代弁するものではなく、いただいたご連絡に必ず返信をさせていただくものではございません。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は1,020を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキストに基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。