オープンで透明性の高いセキュリティのリーダー

blog-open-and-transparent-security-720x420-A.png

Elasticセキュリティは長年にわたってオープンです。オープンソースをルーツとしており、オープン開発を行いながら、2019年にはSIEMをリリースしました。そして2020年、Elasticはそのオープン性をさらに継続し、オープンなdetection-rulesリポジトリリリースしました。このリポジトリは、ユーザーとコラボレーションを行うとともに、お客様の保護方法に関する透明性を提供する場所となります。このリポジトリはSIEMとセキュリティ分析のユースケースに焦点を当てており、Elastic Endpoint Securityアーティファクトはまだ含まれていません。Elasticはそれを基盤としながら、新たなパブリックリポジトリのprotections-artifactsを開き構築を続けています。

protections-artifactsリポジトリ内には、Windows、macOS、Linuxオペレーティングシステムで脅威を防御するためにElastic Endpoint Securityで活用する保護ロジックがあります。これには、EQLで記述されたマルウェアふるまい防御ルール、およびYARAシグネチャーが含まれており、ファイルとメモリーの両方に適用されます。これらはサブセットやサンプリングではなく、ルールおよびシグネチャー全体のセットであり、積極的に脅威をブロックします。Elastic製品でのこれらの機能のアップデートにより、ユーザーは変化を感じることができます。つまり、これらの機能がどのようにして、ブロックする脅威やふるまいを特定するのかに関する正確な透明性を得ることができるのです。

透明性の高いアプローチ

SIEMベンダーにとって、検出ロジックを共有することは現在の一般的な状況となりつつありますが、エンドポイント製品についてはそのようになっていません。Elasticはそれを変えるべきだと考えています。エンドポイント検知と対応(EDR)およびエンドポイント保護プラットフォーム(EPP)は通常、ブラックボックスであり、多くのベンダーはユーザーに、情報やインサイトが得られないことに目をつむるよう期待しています。このようなビジネスのやり方では、ユーザーはそこから学ぶことも、何らかの力を得ることもできません。 

Elasticは、ユーザーとの関係をパートナーシップとして捉えています。そのような関係性においてお互いが成功を収めるために必要な前提条件は、透明であることです。その必要性は明らかであり、その実践は普遍的なものであるべきです。結局のところ、セキュリティソリューションはリスクを軽減するために構築されており、ベンダーがリスクの軽減に貢献していることをユーザーが確認できる唯一の方法は、環境をどのように保護しているかについての透明性をベンダーが確保することです。透明性があれば、ユーザーは製品の強みを理解できるとともに、最も大きなリスクとして存在しているギャップを解消するための取り組みを最大化させることができます。

[関連記事:Forrester、ElasticをEndpoint Detection and Response Waveの「Strong Performer」に選出

懸念への対応

オープンで高い透明性を維持することは、ユーザーにとって最良の状態であり、長期的に誰もがセキュリティを改善できるようになります。Elasticはそれについて慎重に考え、決断しました。透明性の精神に則り、一部の方が主張する可能性のある否定的な認識のいくつかについて、ここで私たちの見解を共有します。

Elasticが透明であるため、あらゆる人から広く批判と詳細な調査を受ける可能性がある。これは製品の仕組みを隠さなくてはならない理由とはなりません。私たちが大事にしているのは、ユーザーに力を与えることと、ユーザーを保護することだからです。Elasticはすでに広く公開されており、毎日何千人もの人々がダウンロードして試しています。その中には、私たちの製品を調査している優秀な研究者も含まれています。私たちはそのような人々も歓迎しています。ほとんどの研究者が私たちとコラボレーションしてくれることを願っています。検知に関するギャップを見つけることができるからです。 

私たちは、誰もがこのアプローチを受け入れるように期待しているわけではありません。ギャップを大々的に示して私たちをやりこめ、注目を浴びたり「いいね!」をたくさんもらったりしたいという人もいるでしょう。私たちは批判や意見を受け入れます。より良いものになるよう取り組み続けるとともに、その方法もお見せします。 

攻撃者にとって、Elastic製品の防御機能を回避することが簡単になる可能性がある。製品がオープンにされていなければ、確固たる動機のある攻撃者でも、その製品がどのようにして脅威を検知およびブロックするかを理解するのは難しくなるはずだと考える人もいるでしょう。これは真実ではありません。攻撃者は、エンドポイントのディスクまたはメモリーからダンプするか、または製品に対して試行錯誤を繰り返すなどして、とにかく何らかの方法で検知ロジックを把握します。あいまいにしておくことでセキュリティを確保するなど、セキュリティではありません。攻撃者が特定の保護やルールの背後にあるロジックを知ることもあるでしょう。私たちはそれに対して、根本的に回復力のある保護策を構築することが大切だと信じています。私たちは、攻撃者が使用せざるを得ないテクニックをターゲットにします。そうすることで、何か1つが回避されても、その背後にさらなる防御レイヤーを用意しておくことができます。

競合他社がElasticの検知ロジックを盗む可能性がある。オープンアプローチに関する私たちの目標は、ユーザーに力を与え、さらに高い透明性を通じてセキュリティに有意義な改善をもたらすことです。つまり、他のセキュリティベンダーの利益になるとしても、すべての救命ボートを助けるということです。ライセンスを取得したり、その他の制約を受けることなく、手に入れられるものはすべて手に入れて、何も返さないベンダーもいるでしょう。私たちは、ユーザーを助けようと取り組めば、Elasticの競争力は高まっていくばかりだと確信しています。また、検知ルールのことだけを考えているわけではありません。Elasticセキュリティは、検知ロジックの実行と脅威のブロックに最適なアーキテクチャーをユーザーに提供します。

オープンな会話

オープンという言葉通り、私たちは皆様からのフィードバックをお待ちしています。GitHub Issueを通じてやり取りしたり、ElasticのコミュニティSlackでチャットしたり、ディスカッションフォーラムで質問したりすることができます。必要なものについてお知らせください。私たちが行った選択について、その理由を尋ねていただいても結構です。さらに、世界に検知ロジックを共有して、現在の基準を引き上げられるよう貢献してください。 

私たちは、検知ロジックの共有を世界中のElasticユーザーだけに求めているわけではありません。EPP/EDRベンダーは現状に留まり続けることなく、透明性の実現に向けて進化するべきです。そのために最初に歩み始めるのはElasticです。他のベンダーにもご参加いただけることを願っています。 

結論として、エンドポイント保護に透明性を加えることはユーザーにとって適切なことであり、Elasticはすでにそれを実現しています。他のベンダーもそれに続き、エンドポイントセキュリティの透明性をさらに高めていかれることを願っています。Elastic Endpoint Securityのアップデートに伴い、YARAシグネチャーとふるまいルールの更新も予定しています。

今後、Elasticセキュリティはエンドポイントセキュリティの透明性をさらに高めていきます。protections-artifactsにぜひご注目ください。将来的には、さらなるエンドポイント保護機能のアーティファクトをリリースする予定です。また、Elasticで取り組んでいるセキュリティリサーチに関するインサイトについては、Elastic Security Labsをご覧ください。  

併せて読みたい:SIEMにより多くのデータを取り込み、運用効率向上を図る.