企業や組織のセキュリティ対策は、伝統的にサイバー攻撃などの脅威を防ぐことに重点が置かれてきたが、現在では検知と対応が大きなウエートを占める。セキュリティ対策の歴史的な変化から脅威の検知・対応が重要となった経緯や現状を読み解いてみたい。
技術的変遷に見る脅威の検知・対応への流れ
企業や組織にとってセキュリティの脅威がより大きな問題となった背景には、2010年代前半に台頭した「標的型攻撃」があるだろう。それ以前もシステム障害などの騒動を引き起こすコンピューターウイルスやワームなど脅威が度々問題になったが、標的型攻撃では、攻撃者がさまざまな手法を巧妙に組み合わせて、標的とする企業や組織が講じている防御システムを突破し、侵入と侵害を続けながら、機密情報の漏えいや事業の中断・停止などの大きな被害を長期間にわたりもたらすようになった。
標的型攻撃が台頭する以前の1990年代から2000年代前半までは、セキュリティ対策の普及期に当たる。当時は「脅威の予防」に重点が置かれ、対策はPCのウイルス対策ソフトやネットワークのファイアウォールなどで構成された。この構成では、セキュリティ製品ベンダーが特定した脅威を検知するシグネチャー(定義ファイル)をベースとし、企業や組織は、製品を導入してシグネチャーを更新する運用をしていれば、基本的に脅威を予防できるという前提だった。
しかし、2000年代後半からサイバー攻撃の増加と手法の高度化、巧妙化により、シグネチャーだけに依存する基本的なセキュリティ製品の構成では脅威の検知が追いつかず、「脅威の予防」が困難になり始めた。そこで、ネットワークを中心に侵入検知システム(IDS)や侵入防止システム(IPS)、さらにはネットワーク通信の内容を検査する次世代ファイアウォールなどが加わり、セキュリティ対策の仕組みは、より複雑な構成の「多層防御」型に発展していく。
多層防御型のセキュリティ対策では、「防御を突破する脅威の監視」という新たな運用の要素が加わり、セキュリティ対策における「脅威の検知・対応」が本格的に始まる契機になったと言えるだろう。それでも当初は、脅威を予防する旧来のセキュリティ対策を補う位置付けだった。実際に多層防御型のセキュリティ対策へ移行したのは、まずは機密性の高い情報資産やシステムを抱える一部の企業や組織だった。
その状況も上述の標的型攻撃の台頭で一変する。機密情報や個人情報の漏えいなどのインシデント被害が相次いで発覚、報道され、企業や組織の間で標的型攻撃の脅威と多層防御の必要性が広く認識されるようになった。多層防御の普及で脅威の監視・検知・対応の重要性も高まっていく。
多層防御は、脅威を1つの防御層で阻止できなくても、その他の複数の防御層で阻止する考え方になる。本質的には、各防御層が協調して脅威を封じ込めるものだが、実際には企業や組織が長年追加し続けてきた防御策の組み合わせとなり、防御策が個々に機能しつつ、可能な範囲で他の防御策とも連携するという状況だった。このため、多層防御を本質的な形で機能させることができるよう「オーケストレーション」という考え方が提唱され、その代表的なソリューションとして登場したのが、「セキュリティ情報・イベント管理」(SIEM)になる。
SIEMは、企業や組織のIT環境から膨大な種類と量のログデータを収集して相関性を分析し、多層防御を突破する(あるいは突破した)脅威と疑われる兆候を検知、特定する。SIEMで脅威の兆候を検知できれば、脅威の影響が拡大する前に対応がとりやすくなる。SIEMの情報を活用して多層防御を強化し、第1波の脅威の進行を封じ込めたり、第2波以降の脅威を未然に防御できるようにしたりといった効果が期待された。SIEMによって脅威の検知・対応は、セキュリティ対策の中核に位置付けられるようになったと言えるだろう。
ただし、運用面に課題が残された。セキュリティ対策の運用は、多層防御の登場によって、それ以前の「対策製品の導入・更新」に「脅威の監視・対応」が加わったが、脅威が増加、高度化、巧妙化し続ける状況に、企業や組織側では監視のためのリソースやスキル、経験などが不足したままだったからだ。
多層防御を構成する各層の製品や技術は、脅威のあらゆる兆候をアラートとしてセキュリティ担当者に通知するが、その量はあまり膨大で内容もさまざまなことから、担当者が対応し切れず、脅威を特定して対応することが困難になった。そこにSIEMが加わったことで、運用はさらに困難を極める状況となってしまう。SIEM事態が取り扱う情報も多種多様かつ膨大になり、ログデータなどを収集、分析するための環境構築などにも高度な技術力や費用が必要だった。
後年には、多層防御を構成する製品などのうち脅威の監視を重点とするIDSやIPS、次世代ファイアウォール、SIEMなどの運用をセキュリティサービス専門会社が代行する「マネージドセキュリティサービス」(MSS)が徐々に普及する。コストをかければ、MSSを活用して脅威の検知・対応の運用を実践できるようになったが、あまねく企業や組織が実践できるようになるには、まだ道半ばの状況にある。