ランサムウェア感染や情報漏えい……止まらないセキュリティインシデント 解決の鍵は？：担当者は“アラート疲れ”

攻撃に備え、多くの企業はセキュリティ製品の導入などの対策を進めている。にもかかわらず、被害は減るどころか増加しているようにも見える。一体何が原因なのか、そして解決の糸口とは。

[PR／＠IT]

PR

　昨今、ランサムウェア（身代金要求型マルウェア）感染や内部関係者による機密情報の持ち出しといったセキュリティインシデントが多発している。いまやセキュリティは、企業に大きな影響を与える重要な課題であるという認識が高まっている。

　もちろん、大半の企業は危機意識を持ち、従業員教育やCSIRT（Computer Security Incident Response Team）やSOC（Security Operation Center）の設置、セキュリティ製品の導入などの対策を進めている。にもかかわらず、被害は減るどころか、むしろ増加しているようにも見える。一体どこに原因があるのだろうか。そして、解決の鍵は何なのだろうか。米国のセキュリティ企業、Exabeam社でチーフプロダクトオフィサー（CPO）を務めるスティーブ・ウィルソン氏に尋ねた。

セキュリティ製品を次々と導入することが招く新たな課題

Exabeam
チーフプロダクトオフィサー
スティーブ・ウィルソン氏

　セキュリティの脅威には、脆弱（ぜいじゃく）性を突いた不正侵入のような外部の攻撃や、悪意を持って行動したり、無意識にルールを破ってしまったりする従業員による内部脅威もある。

　企業は脅威に対処すべく、さまざまなセキュリティ製品を導入している。PCをマルウェアから保護する「EDR」（Endpoint Detection and Response）や、外部からの不正アクセスが社内ネットワークに入り込まないようブロックするファイアウォール、「IPS」（Intrusion Prevention System）、「WAF」（Web Application Firewall）、そして企業のITシステムがオンプレミスからクラウドへ移行すると、「CASB」（Cloud Access Security Broker）、「SASE」（Secure Access Service Edge）、「CSPM」（Cloud Security Posture Management）、「CWPP」（Cloud Workload Protection Platform）――といった具合に、次々に新たな製品を追加する。

　だが、さまざまなセキュリティ製品の導入が新たな課題を招いているとウィルソン氏は述べる。「企業は侵害の兆候を見つけたり、深刻な問題を発見したりするために多くのセキュリティ製品を導入してきました。しかし、あまりにも多くのアラートが発生し、担当者が疲弊するだけではなく、アラートが無意味なものになってしまうという課題に直面しています」

　これを解決するためにまず思い浮かぶ対策は、アラートをしっかり調査できるよう、より多くのセキュリティ人材を採用することだ。だが、日本はもちろん海外でも長年にわたり人材不足が深刻で、需要に供給が追い付かない状態が続いている。これは同時に人材を雇用する際のコスト増にもつながり、必要な人材を雇おうにもその予算が確保できない、という状況だ。

　結果として、多くのセキュリティ製品に投資したにもかかわらず、被害はなかなか減少していない事態になっている。

　現に、Exabeam社が調査会社IDCとともに公表したレポート「脅威検出、調査、対策の状況（2023年11月）」（※）からも、そうした状況がうかがえる。レポートは、北米、ヨーロッパ、アジア太平洋および日本のセキュリティやITの専門家、1155人へのインタビューをまとめたものだ。

※出典：Exabeam, IDC, 2023年11月 “The State of Threat Detection, Investigation, and Response 2023”

　レポートでは、インタビュー対象の組織のうち57％が重大なセキュリティインシデントを経験し、報告した経験があると回答した。一方、企業の70％以上がセキュリティインシデントの検出・調査・対応・修復（TDIR：Threat Detection, Investigation and Response）に要した平均時間をはじめとする指標が、2023年は2022年よりも向上、改善していると回答。特に目を引くのは、90％以上が「自社のサイバー脅威を検出する能力は、良好、あるいは卓越している」と捉えていることだ。

　確かに企業のセキュリティ対策への投資は年々増加し、組織やプロセスの整備も進んでいる。以前に比べれば状況が進歩しているのは事実だろう。しかし、インシデントが多発している現状を踏まえると「過検知や誤検知、アラートから適切な認識が得られていないなど何らかの問題がセキュリティオペレーションにあるのではないかと考えます」とウィルソン氏は指摘する。

　さらにレポートでは、自社のIT環境を監視、確認できている組織は66％にすぎない点――つまり、全体の3分の1は可視化できておらず、多くの盲点が残っている点や、53％がTDIRワークフローの50％以下しか自動化できていない点も明らかになった。結果を踏まえると、自分たちでは「できている」つもりでも、実際には課題が山積し、自己認識と現実の間には大きなギャップが存在していると言わざるを得ない。

　こうした状況を踏まえた上で、ウィルソン氏は「あらゆる人に安全で安心な環境を提供するには、まだまだなすべきことは多くあります。その代表的な例が自動化であり、AI（人工知能）技術です」と述べる。

　もちろん、自社の環境やビジネス上の価値も踏まえた高度な判断をする上で、人間のセキュリティアナリストは不可欠だ。しかし「人間はしばしばボトルネックになり、スピーディーな分析や調査の妨げとなることもあります。セキュリティインシデントの調査や対応の自動化には、改善の余地があるはずです」とウィルソン氏は言う。

データを集約し、価値ある情報を提供できる「Exabeam」

　企業の改善をサポートするためExabeam社では、セキュリティオペレーションプラットフォームとして同名の「Exabeam」を提供してきた。クラウドネイティブで高い拡張性と性能を備え、自然言語による検索機能も組み込まれているという。

　Exabeamは、ウィルソン氏が触れた“アラート疲れ”から脱却する機能も備える。「企業の大半は多くのセキュリティ製品から、TB（テラバイト）、PB（ペタバイト）クラスの量のログやイベント、アラートを収集しています。Exabeamは全てのセキュリティ製品からデータを受け取り、正規化やエンリッチメントを実施した上で、CIM（Common Information Model）として集約します」

　セキュリティ製品にはそれぞれ異なる狙いがある。発するアラートも別々で、時には重複も発生する。「セキュリティ製品はそれぞれ一部しか把握できておらず、全体像が見えていません。このため担当者は、何が重要で、何がそうではないかという意思決定を下すのが難しくなってしまいます」とウィルソン氏は指摘する。

　これに対しExabeamは、CIMという一つのプラットフォームにあらゆるデータを集約し、AI技術やML（機械学習）、UEBA（User and Entity Behavior Analytics）機能、TDIRワークフローを適用。多くの過検知や誤検知といったノイズを排除して意味のある情報を提供し、ユーザー企業がより重要な動きにフォーカスできるよう支援するという。

　ExabeamではCIMに蓄積するデータに基づき、ユーザーごと、端末ごと、組織ごとにそれぞれMLモデルを構築。リスクスコアを作成し、正常な動きとそうではない動きを区別できるようにする。例えば、開発と営業など部署ごとに異なるMLを作成すれば、営業データベースへのアクセスという動き自体は同じでも、営業担当なら正常な業務範囲内だが開発担当なら何かおかしい――というように状況に応じて判断し、リスクスコアを高くするといった具合だ。Exabeamが生成するMLモデルは、環境や振る舞いの変化に基づき、常にアップデートしていく。

　もし一定のしきい値（閾値）を超えれば異常であると判断して通知し、人間による詳細な調査を開始するよう促す。こうした情報は「脅威センター」（Threat Center）と呼ばれる画面から把握できる。「リスクベースのアプローチを取ることで、ユーザー企業はノイズに悩むことなくリスクの高い、疑わしいものを判断し、本当に侵害の疑いが高い状況を認識できるようになります」（ウィルソン氏）

「Exabeam」でノイズを排除し、意味のある情報を提供（提供：Exabeam Japan）《クリックで拡大》

生成AI技術で、自然言語での問いかけが可能　人材不足の解消も

　こうした特徴からExabeamは、金融やヘルスケア、官公庁など強い法規制が課せられる業界を中心に採用されてきた。Exabeam社独自のSIEM上でプラットフォームを動かす「フルスタック」と、SplunkやMicrosoftといった他社製SIEMと組み合わせて運用する方法、どちらでも導入できる点も強みだという。

　Exabeam社はセキュリティ運用の現場が抱えている可視性や自動化の不足といった課題を解消するために、2024年2月に「Exabeam Copilot」をリリースした。同製品では、Googleと独自に開発したプライベートの大規模言語モデル（LLM）を用いた生成AI技術を活用。ユーザーは自然言語を用いてExabeamとやりとりし、さまざまなインサイト（洞察）を容易に得られる。

　以前からExabeamはUEBAの領域でMLを駆使し、前述のように大量のアラートから誤検知を排除できていた。さらに生成AIを組み合わせることで、駆け出しのセキュリティアナリストでも、長年経験を積んできたシニアアナリストと同じような知見を見いだしながらインシデントの調査を進め、判断を下せるよう支援する。

　「UEBAのAI技術はインシデントのタイムラインを生成しますが、どれが重要かを判断するには長年の経験が必要でした。Exabeam Copilotは、タイムラインを画面に表示するだけではなく、英語や日本語、その他の自然言語でサマリーも提示します。これを見れば『何が起きたのか』『脅威は何か』、そして『次にどういった対応を取るべきか』が分かります」（ウィルソン氏）

　より詳細を知りたい場合にはチャットを開き、ChatGPTと同じように質問を投げ掛けて回答を得られるとウィルソン氏は説明する。

　この仕組みはすでに複数の企業が利用し、「2〜3倍のスピードで調査を進められるようになった」「以前は45分かかっていた調査を15分に短縮できた」といったフィードバックが寄せられている。まさに、経験豊かなセキュリティ人材を雇い入れるのと同じような効果が得られているのだ。

　セキュリティ製品から得られるデータを意味のあるものにするためには、AI技術やMLの活用が唯一の方法だとExabeamは捉えており、今後も機能強化を進める方針だ。ウィルソン氏によると、サードパーティー製のLLMを同社のセキュリティオペレーションプラットフォームと連携できるような仕組みの開発や、データのパースから経営層向けレポートの作成にまでAIの活用を広げていく。

　「AI技術と自動化をセキュリティオペレーションに活用することで、ユーザー企業が抱える問題の多くを解決できると考えています」とウィルソン氏は述べる。