その他の可視化と隔離のアプローチとしては、データが外部のクラウドに格納されたり紛失した場合でも常に暗号化しアクセスを可視化、コントロールする「データセントリックセキュリティ」という手法がある。クレジットカード番号やソーシャルセキュリティ番号(例:マイナンバー)など、特定のキーワードやアトリビュートに合わせて企業セキュリティポリシーを自動的に強制するため、強度の高い情報の隔離方法の1つとして米国でも銀行などでクラウドとともに利用されはじめた。FinalCodeやIonic Securityなどが代表的例である。
手軽な解決策としては、ネットワークのオーバーレイによるデータ・通信の暗号化およびセグメンテーション管理の手法がある。特にSoftware Defined WAN(SD-WAN)とNFV技術を活用した製品やサービスは、ネットワークをシンプルに平準化することで設定や管理を容易にし、分散したエンドポイントの可視化とセキュリティポリシー、アクセスコントロールを集中的に管理することができる。
全ての機能をクラウドへ上げサービス提供し始めているCradlepoint(Pertino)やCato Network、などはIoTセキュリティへつながる技術としても注目である。
また攻撃や感染を受けやすいサーバは予めクラウドコンテナ上に隔離、実行し、安全なコンテンツのみユーザーに届けるMenlo Securityや、Freglassなど新しい発想を持つ企業も登場し始めている。
(2)迅速な発見と対応
今までのセキュリティ情報イベント管理(SIEM)ツールでは膨大な誤検知アラートにより、発見までに多くの時間を費やすことに多くの企業が不満を抱いているという。企業の重要情報を狙う不審な振る舞いをいかに迅速に検出し、正しい対策を施すことは企業のダメージを縮小化するための課題である。
しかし正規の従業員/役員の認証情報を盗み出すなど、一度なりすまされてしまうと個別のアラートからは簡単に悪意がある行為との見分けが付かず、高度な解析能力が必要とされていた。一方で人材不足は2020年までに200万人を超えると予測される中で、この市場は現在の6倍(セキュリティ予算の60%)まで成長すると予測され、CSIRTをサポートする解析ソリューション企業が続々と輩出されている。
アプローチはベンダーの思想や戦略により、例えばクラウド型、オンプレミス型、インテリジェンスのビッグデータ解析、人的スキル(ホワイトハッカー)とのハイブリッド、AIの利用とさまざまな組み合わせのパターンがある。ここでは、私的に「ユーザービヘイビア解析」「次世代エンドポイントセキュリティ」「クラウドインテリジェンス」と分類してみた。
ユーザービヘイビア解析(UBA)はログをもとにエンドユーザーごとの振る舞いを時系列に整理し、通常時との行動の差分から単体のアラートからは推測できなかったリスクをあぶり出すツール。従来のSIEMで蓄えられたログをそのまま利用できるもの、一から蓄えるタイプ、エージェントの有無など、いくつかに大別できるようだ。Exabeam、Fortscale、Rapid7などがある。
次世代エンドポイントセキュリティは、エンドポイントのログをクラウドへ収集し、AIなどを駆使しリアルタイムにリスクを可視化、検知しブロックする。CyberreasonやCrowdStrikeのほかにエンドポイントとその活用状況をリアルタイムに可視化しインテリジェンス情報と連携しパッチまで提供、管理を可能にするTanium、SentialOneなど挙げられる。
