大企業のITセキュリティ担当者は、脅威を巡る対応に圧倒される可能性があります。システムとネットワークの機能が拡張され、それを介して流れるデータが急増すると、脅威についてもその数が増加し複雑さも深刻になります。さらに、環境が盤石でなければ、セキュリティ担当者は、政府規制を遵守するための、侵害の特定とその報告を、限られた時間内で早急に行うことになります。
人手で何とか対応するというのも一つの方法ですが、何も解決できないかもしれません。また、そのための予算が不足する可能性もあります。膨大な量の潜在的かつリアルタイムな脅威に対処するには、リアルタイムに分析できる高い能力が必要です。それを実現するのがソフトウェアであることは明らかです。
拡大する脅威への対処は困難になるばかりです。ITコミュニティでは、AIを活用し、セキュリティタスクの自動化を進めることがそうした脅威に対抗する唯一の手段であると認識されています。Aruba社とHPE社が委託しPonemon Institute社が実施した最新の調査は、それを明確に示しています。

 

調査対象となったデータ

データは、金融、医療、公共サービス、小売業、工業といったさまざまな業界に関わる世界中のセキュリティチームから収集されました。調査の回答者数は3,866。その59%が管理者以上の立場にあります。また、すべての回答者が自社のITセキュリティへの投資に関する購買、評価、管理を担当しています。回答者の勤務先は大企業で、その3分の2が世界規模で5億ドル以上の収益を上げ、世界中で1,000人以上の従業員を抱えています。

セキュリティの問題が多様化: IoTデバイスが今後も弱点に

回答者の76%が、自社で25以上のセキュリティソリューションを利用しており、多くの場合そうしたソリューションがその場しのぎで任意に導入されたと報告しています。こうした回答から、世界中に展開するテクノロジーに特化した大企業が、ITセキュリティへの取り組みを維持するのは容易ではないと考えられます。
全体的に見ると、大多数の回答者が、企業のセキュリティとそれを維持する能力を大きな課題と捉えています。回答のうち、特に共通する懸念点は次のとおりです。

• モバイルネットワークとIoTデバイス全体で、ネットワークの境界がなくなり、資産とデータがクラウドに分散されたことで、それらを保護することが非常に困難になっています。こうしたデバイスのセキュリティ対策のほとんどがITの手を離れ、今ではサードパーティのサービスプロバイダーに管理されています。
• ITは、管理対象の資産に関するさまざま状況を十分には可視化できていません。これは、とりわけIoTデバイスに当てはまります。そうしたデバイスでは、コンピューティングリソースが比較的簡素化されているため、デバイスを完全に管理するためのソフトウェアを実行できません。大多数の回答者が、効果的なセキュリティ対策には、アプリケーション、クラウド、ネットワークの可視化が重要であると考えています。
• 回答者はIoTデバイスを特に問題視しています。小規模なタスクの監視や実行を簡単に行えるデバイスであっても、セキュリティに対する脅威になり得ると、深刻に懸念しています。
• IT部門では特にセキュリティ担当者が人手不足を感じています。48%の回答者が、セキュリティの専門技術を持つ人材の不足が、スキル面での弱点につながっていると考えています。一方で、回答者は、攻撃者を「持続性があり高度な技術を持っている。また、十分に訓練され、資金力がある」と見ています。
• 回答者は、侵害された正当なユーザーをネットワークで生じる最大のリスクと見なしています。IDとアクセスの管理が盤石であっても、ユーザーの資格情報が侵害されると、ユーザーのアクセスが攻撃者にすべて奪われてしまいます。そうした攻撃は、一般にスピアフィッシング攻撃などのソーシャルエンジニアリングによって行われます。そのため、セキュリティシステムで特に弱い要素、つまりユーザーが標的にされます。
• 多くのセキュリティ製品で多数のアラートが生成され、それが大量のフォールスポジティブ (誤検知) につながっていると、回答者が報告しています。

その他の主な懸念点は、政府規制、とりわけ一般データ保護規則 (GDPR) の遵守です。GDPRの第33条では、「コントローラー」(個人データを所有する組織) は、関連のEU機関に、そうしたデータの侵害について、その侵害を知ってから72時間以内に通知することが要件になっています。また、第34条では、該当の個人に「妥当な期間内に」通知することが求められています。
セキュリティへの応用技術として、機械学習 (ML) 挙動分析などの技術を採用したAIを、ほぼ全員が挙げています。2番目に注目を集めた関連技術は自動化でした。

 

検知できなかった脅威を今後はAIが検知する

回答者は、AIの技術によって、セキュリティチームが、これまでセキュリティの弱点をついて侵入してきたと思われる脅威を、効果的かつ効率的に検出できるようになると考えています。
こうした技術を採用した製品はすでに市販されています。回答者の29%が機械学習を導入しており、そのうち12%が、それを組織全体にわたり導入しています。46%が、AIまたは機械学習のソリューションを近い将来導入する見込みで、26%がその時期を今後1年以内と見ています。
AIは、調査で明らかになった体系的な問題のソリューションに最適です。人の能力によるセキュリティの管理と攻撃への対応では、深刻化する問題をカバーできません。一方で、マシンによるインテリジェンスならそれが可能になり、クラウドの広範なコンピューティングリソースも活用できます。
攻撃の規模と複雑さによって可視性が損なわれています。そうした状況では多くの場合、詳細なログデータとテレメトリが利用可能であっても、それらが増大し、内容を把握できない生データの形式になっています。企業内のあらゆる場所や外部のインテリジェンスを備えた分析ソフトウェアなら、学習によって、日常や類似の情報と本当に危険な情報を区別できます。
この最後の特徴は、インテリジェントソフトウェアの利点をほかにも示しています。長年、セキュリティインテリジェンスの企業は、広範な保護を実現し、攻撃をより迅速に阻止するための取り組みの中で、公式にも非公式にもインテリジェンスを共有してきました。また、今では、サイトが、標準とAPIを利用して、複数の信頼済みソースからインテリジェンスを収集し、それを活用できるようになっています。クラウドの性質やそうしたインテリジェンスの市場を考えると、セキュリティ保護の能力が向上していることと、今後も改善が必要であることは明らかです。
規制の遵守、とりわけGDPRの第33条と第34条に関して、AIと自動化は、妥当な期間内に適格に対処できるようにしておく唯一の合理的な手段です。この調査は、回答者が実際にそのように認識していることを示しています。
自動化は、DevOps登場の影響もあり、セキュリティやその他のITの機能において、この数年間、特に注目されています。DevOpsでは、監視と自動化によって、開発と運用の連携を進めます。クラウドでは、それらのプロセスにおいて、あらゆるレベルのインフラストラクチャをソフトウェアで構築および廃止するポイントに達することができます。

 

自動化が、フォールスポジティブアラートを削減する鍵になる

調査の回答者の圧倒的多数 (71%) が、自動化は、アラートの調査に必要な時間と労力を削減するための鍵になると考えており、68%が、フォールスポジティブアラートの数を削減する重要なツールであると考えています。このような自動化がGDPRを実際に遵守できるようにする唯一の手段になります。
自動化の機能には、理論上、ほとんど制限はありませんが、特定の自動化アプリケーションでは問題が生じます。自動化によってあるユーザーがネットワークに接続できなくなる、または、ビジネスプロセスが途切れた場合、人のスタッフがただちにその問題に対処する必要があることは明らかです。そうであっても、自動化は攻撃の封じ込めや復旧に適しており、回答者もその点を最も評価しています。そのような状況でのスピードを考えると、自動化に代わるものはありません。さらに、インテリジェントソフトウェアが、フォールスポジティブをフィルターによって効果的に除外します。その後自動化によって、対処すべき問題をスタッフに指示できます。ビジネスが短時間中断しても十分な見返りを期待できます。
IoTはここでも主要な懸念点になっています。BYODが始まった頃と同様に、事業部門がそうした機能を強く求め、セキュリティに関する懸念にいらだちを募らせることが少なくありません。ここでもインテリジェンスが機能しますが、製品ベンダーとサービスプロバイダーもデバイスとネットワークセキュリティを強化する必要があります。市場の要求によってもそうせざるを得ません。その一方で、機械学習とAIが威力を発揮するセキュリティ製品の分析能力によって、攻撃者を封じ込めやすい環境を実現できます。
他方で、ユーザーのセキュリティ能力の向上が困難であることが明らかになりました。攻撃者がこれまでになくソーシャルエンジニアリングを悪用しているのはそのためです。インテリジェントソフトウェアと自動化がここでも大きな役割を果たすに違いありません。回答者がコメントした例として、ネットワークアクセス制御 (NAC) が挙げられます。NACにより、オペレーティングシステムのアップデートとアンチウィルスの定義が最新になっているかなど、ネットワークに接続しようとしているシステムがポリシーの要件を満たしているかどうかを確認できます。満たしていないユーザーは、必要なアップデートを適用するために、独立した802.11サブネットに移動させられますが、何のダメージも発生しません。NACは、長年にわたり効率化され、インストール後すぐに効果を得られるようになりました。また、IoTデバイスにも役立っています。セキュリティチームが、任務に必要なリソースのみにアクセスできるように制限するポリシーを、デバイスに定義できるようになったのです。

 

将来への道程ではなく、現在の状況そのもの

セキュリティ対策の絶え間ない変革は容易ではありません。新たなテクノロジーに必然的に生じる脆弱性など、すべての変化に対応しながらビジネスの運営を進めることは困難です。その解決策では、新たなテクノロジーそのものが、重要な部分を占めているに違いありません。また、今後もそうであることが当然のように思われます。機械学習と普及する自動化は、セキュリティ製品のあらゆるレベルに浸透し、セキュリティ対応をインターネットの速さにまで加速させます。

_{この記事/コンテンツは、記載されている個人の著者が執筆したものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。}