脅威が高まるなか、世界のトップCISOが組織を守るには
新しいデータによると、サイバーセキュリティについて先進的な経営幹部たちは、次世代のセキュリティ情報およびイベント管理(SIEM)、エンドポイント検知と対応(EDR)、拡張検出および応答(XDR)といった一連の最新機能に投資しているほか、多くの組織よりもはるかに進んだ施策を実施していて、レジリエンスのギャップが広がっている状況が浮き彫りになっています。
Elasticが共催した調査「高まるリスクにサイバーセキュリティソリューションで備える」では、16か国14業種に及ぶ1,200の組織(セキュリティ支出額は合計1,252億ドル)が、拡大する脅威への対応として防御にどれだけの投資を行っているかを明らかにしています。この調査によって速やかな行動を促している調査会社ThoughtLabは、少数の組織を先進的であると認定しました。しかし、調査に回答した組織の多くは、サイバーセキュリティ戦略の効果を高めるためにプロセスとテクノロジーの変革を加速させなければならず、そうしなければ対応に後れを取ることになりかねません。
レポートをダウンロードしていただくと、お客様の組織がどれほど先進的であるのかを確認できます。
(次世代)SIEMへの投資を増やす
調査によると、ほぼ半数(44%)の組織がSIEMの強化または置き換えを希望しています。実際SIEMは、IDおよびアクセス管理(IAM)と並んで、今後2年以内にサイバーセキュリティ分野において上位の投資領域になる見込みです。
現在、組織が投資するサイバーセキュリティテクノロジーの上位には、メールセキュリティ、分散型サービス拒否攻撃(DDoS)対策、モバイルデバイス管理、クラウドアクセスセキュリティブローカー、ネットワークセキュリティポリシー管理、セキュリティ情報およびイベント管理(SIEM)が並んでいます。しかし、この優先順位は近い将来に変わりそうです。2年後、テクノロジー投資に占める割合が最も高いと予想されるのは、SIEM、IAM、DDoS対策、クラウドワークロード保護プラットフォーム、メールセキュリティ、セキュアアクセスサービスエッジ(SASE)です。
脅威検知を最適化できてないない組織は、このような傾向を参考に計画を立てることができます。メリーランド大学医療システムの最高情報セキュリティ責任者(CISO)であるデューク・ライ氏は、SIEMが提供するのは「きめ細やかな意思決定に役立つ可視性とデータポイントです」と述べています。
[脆弱性Log4Shellが明らかになった後に企業が複数の環境にまたがるデータのログを作成するのを支援し、そのデータを単一のプラットフォームで監視、保護できるようにしたElasticの方法をご覧ください。]
SIEMの置き換えまたは強化を目標とする場合、組織は何を検討したらよいでしょうか。1つ言えるのは、クラウドネイティブな機能が次世代SIEMの特徴であるという点です。
ElasticのCISOであるマンディ・アンドレスは、「SIEMの置き換えを推進する大きなトレンドの1つはクラウドである」と述べています。「クラウドへのワークロードの移行に伴い、クラウドデプロイの監視がビジネスに欠かせない要素となっています。」 さらに、レガシーSIEMは大量のデータを取り込むことができますが、必ずしも分析機能が組み込まれているとは限りません。次世代SIEMは、データを相関付けて処理することで、負担の大きい手作業に頼らずタイムリーな対応を可能にするインサイトを提供します。
[SIEMで最も重要な考慮事項とElasticによるそれらへの対応方法について詳しくは、こちらをご覧ください。]
EDRとXDRで高度な分析を拡張する
EDRとXDRも組織にとっての最優先事項です。実際、組織の5社に1社が、2年後に投資が最大になるテクノロジーとしてEDRを挙げています。EDRは機械学習を利用してランサムウェアやマルウェアを防ぎ、高度な脅威を検知するほか、重要なコンテクストを担当者に提供して対応を講じやすくします。機械学習について言えば、この技術の導入によって、ほとんどの組織で現在のセキュリティ格差を改善することができます。セキュリティの脆弱性や脅威を特定するためにAIや機械学習などの高度な分析機能を利用していると回答した組織は、わずか26%にとどまっています。
一方、XDRはEDRが持つ機能に加えて、機械学習を活用した分析によってアクティビティを相関付け、脅威を特定します。「処理速度とリアルタイム分析機能が主なメリットです」とアンドレスは述べています。先進的な組織の5社に1社は、今後2年間でXDRに投資する計画を立てています。
興味深いことに、先進的な組織の3社に1社が、ポイントソリューションをデプロイするのではなく、「プラットフォーム」として一連の機能を提供するセキュリティテクノロジーを採用すると回答しています。XDRは通常、他のツールを統合でき、アナリストにとって単一の参照ポイントとして機能する一元的セキュリティプラットフォームとして提供されます。「最新のXDRプラットフォームは多数の機能を備えていて、幅広いセキュリティ運用に対応します。たとえば、クラウド特有のすぐに利用できる(OOTB)ルール、異常を見つけ出す分析と機械学習、より迅速で詳細な調査を可能にする統合エンドポイント機能、対応の自動化を可能にするワークフロー統合といった機能があります。」(アンドレス)
クラウド利用の将来計画
IT支出の割合として見ると、クラウド投資は過去1年間で25%増加しました。この増加は、組織がクラウドプロバイダーやクラウドサービスの利用、他の技術との相互連携を拡大していることに起因しています。
クラウドネイティブなテクノロジーを導入する機会が増え、組織は導入を安全に行うために考慮しなければならなくなっています。半数近く(49%)の組織は、今後2年間で侵害の根本原因として誤設定が増加し、最近の重大な侵害を引き起こしているその他の根本原因よりも数が多くなると予想しています。アプリケーションのセキュリティ設定やフレームワークを適切に構成すれば、システムやサーバーによって、攻撃者が防御を突破する隙をなくすことができます。
この点を考慮すると、クラウドセキュリティへの投資は極めて重要です。先進的な組織は、現在投資しているテクノロジーのうち、最も効果の高いものとしてメールセキュリティを挙げ、その次にクラウドワークロード保護プラットフォームを挙げています。さらに、組織の5社に1社が、ネットワーク、クラウド、インフラなど、エンドポイント周辺の脅威に対する可視性を欠いていると回答しています。ハイブリッドマルチクラウド環境への拡張を進める組織が増えているなかで、クラウドワークロード保護プラットフォームは、セキュリティチームがサーバーワークロードを保護し、一貫した可視性を確保するのに役立ちます。
データの課題としてセキュリティに取り組む
脅威検知とデータセキュリティに関しては、先進的な組織とその他の組織との間に大きな隔たりがあります。継続的な監視、異常検知、ID管理などのアクティビティに関連する課題があることから、一部の組織はデータを十分に可視化して安全を確保することに苦労している様子がうかがえます。
たとえば、先進的な組織の81%は、検知プロセスを管理または最適化していますが、その他の組織でこれを達成できているのは47%に過ぎません。継続的な監視に関して自らを高く順位付けする組織は、先進的な組織では66%であるのに対し、その他の組織では28%でした。異常やイベントの検知についても同様で、先進的な組織では68%であるのに対し、その他の組織では25%でした。
データセキュリティの領域でも同様のことが言えます。データセキュリティを管理または最適化できているのが、先進的な組織では69%であるのに対し、その他の組織では44%です。全体として、ID管理とアクセス制御がうまく機能している割合は比較的低く、先進的な組織では57%に対して、その他の組織では24%しか達成できていません。
先進的な組織の大多数は、両方の領域で改善を進めています。今後2年間におけるプロセスイニシアティブの一環として、先進的な組織の34%は、セキュリティ監視や脅威検知機能の開発および保守への投資を計画しています。また、36%はサイバーセキュリティとデータプライバシーイニシアティブを緊密に連携させるための投資を計画しています。後者は、定期的なリスク評価、監査、ストレステスト、ペネトレーションテストの実施と並んで、プロセス投資の上位に挙げられており、サイバーインシデントレスポンスおよび復元プランの開発および保守をしています。
チームを訓練してスキルアップを図る
脅威は巧妙さを増して押し寄せています。これに対抗するためには、堅牢なチームを作り、十分な対策を講じなくてはなりません。しかし、これが至難の業であり、人材不足が生じています。「マルウェア、ランサムウェア、データ侵害の脅威が高まる一方で、多くのセキュリティ担当経営幹部が直面する最大の課題は、次世代のサイバーセキュリティ専門家を見つけることです」とアンドレスは述べています。
熟練したサイバーセキュリティ専門家の不足が課題になっている組織は、現在では24%となっており、2年後には27%に増えると予想されています。先進的な組織は、多数の従業員を抱える大企業である場合が多く、大規模なITやデータセキュリティのスタッフを抱えているため、サイバーセキュリティへの備えに差が生まれる原因となっています。
この課題に対応するため、全組織の46%は、サイバーセキュリティスタッフとITスタッフのスキルアップに投資しています。侵害が生じる主な2つの原因を考えると、継続的な訓練と人材への投資がますます重要になってきます。今後2年間で、フィッシングやソーシャルエンジニアリング、ヒューマンエラーが侵害の原因として増える可能性が大きく、それらにランサムウェアが続くと組織は予測しています。
同時に、CISOはますます戦略的になり、組織のビジネス計画とデジタルトランスフォーメーション計画の双方に対して大きな影響力を持ち始めています。たとえば、42%の組織が、CISOが顧客や内部不正の管理に大きく介入するようになってきていると報告しています。サイバーセキュリティもまた、CEO、COO、CIOのほか、法務、リスク、プライバシー、コンプライアンスの各担当者で構成されるC-Suite全体の取り組みに発展しており、セキュリティを戦略的インペラティブ(戦略の遂行に不可欠な要素)と捉えるようになっています。CISOの役割が拡大し、同僚との協力体制が強化されることで、組織はセキュリティの意識向上トレーニングやスキルアップに注力し、内部不正などのリスクを軽減することができます。
自社の戦略状況を比較する
自社のサイバーセキュリティへの取り組みはどこが優れていて、どこに改善の余地があるでしょうか。レポートの全文を読んで最先端の組織から学び、サイバーセキュリティに対する自社の姿勢を評価しましょう。