生成AIとはどう付き合うべき？ ゼロトラストを支えるモダンSOCアナリストに求められる知識：働き方改革時代の「ゼロトラスト」セキュリティ（24）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを支えるモダンSOCアナリストに求められる知識と生成AIについて解説する。

[仲上竜太，ニューリジェンセキュリティ]

　新型コロナウイルス感染症（COVID-19）のパンデミック（世界的大流行）が収束に向かい、新たなライフスタイルやワークスタイルで日常を過ごすニューノーマルな生活が始まりました。テレワークが仕事の中心を占めていた状況から、出勤や訪問、出張といったリアルでのコミュニケーションが急速に日常になりつつあります。

　デジタルトランスフォーメーション（DX）やコロナ禍によるワークスタイルの変化、そして生成AIの登場によって、ここ数年のデジタルワーク環境は大きな変化を迎えています。

　地政学的リスクや気象変動による事業への影響は、引き続き考慮すべきリスクとして認識されており、サプライチェーン全体のセキュリティ強化によって脅威に対処する経済的安全保障の考え方も浸透してきています。

　本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、昨今のデジタルワーク環境の変化とサイバー脅威の質的変化に対応したセキュリティの姿として注目された、ゼロトラストの技術的な即面やゼロトラストアーキテクチャの考え方を「ゼロトラストセキュリティ」として紹介してきました。

　テレワークを前提とした働き方から、在宅と出勤／出張を適宜組み合わせるハイブリッドワークが推進される今日、テレワークセキュリティだけではない、働き方改革時代のゼロトラストセキュリティへの進化が求められる状況になってきました。

　前回は、ゼロトラストを企業や組織に導入する際のCISO（最高情報セキュリティ責任者）やCIO（最高情報責任者）の存在と役割について解説しました。今回は、ゼロトラストが導入されたセキュリティ環境の運用に、どのような人材が必要になるかを解説します。

ゼロトラストの司令塔となるモダンSOC

　ゼロトラストは、従来の境界型セキュリティの考え方であったネットワークに暗黙的な信頼をもたらすための外部接点の防御から脱却し、「ネットワーク全てを信頼せず、常にアイデンティティー（ID）によって検証する」という考え方を実現するためのセキュリティコンセプトです。

　ビジネスのデジタル化が進み、企業の情報のデジタル化が進んだことで働き方が多様化して従業員の扱うデバイスやネットワークの組み合わせも膨大化しています。いつでも、どこからでも、どのデバイスでも安全に企業や組織のデータにアクセスさせるには、利用者が正しい利用者なのかどうかを常に認識し、そのデータにアクセスできる権限を有しているのかどうかを確認する必要があります。ゼロトラストでは、アイデンティティーの管理やネットワークセキュリティ、データセキュリティによって、その仕組みを構築します。

　企業や組織のデジタルワーク環境で起こる全てを把握し、情報システム全体のセキュリティを統制する考え方が、モダンSOC（Security Operation Center）です。これまでのSOCでは、セキュリティ装置それぞれの監視によって企業のネットワークセキュリティを維持してきました。働き方の多様化やデジタル化が進んだ現在では、全ての領域のセキュリティ状態を複合的に監視する必要があり、それらを統合的に監視できる環境がモダンSOCといわれています。

　本連載第18回では『脆弱性、攻撃界面、脅威情報が膨大な今欠かせない「モダンSOC」とは――ゼロトラスト時代の可視化と分析』として、モダンSOCの役割や在り方について解説しました。

　モダンSOCでは、中心となるSIEM（Security Information Event Management）という情報分析基盤にさまざまな情報を集約し、SOAR（Security Orchestration, Automation and Response）によって自動化された対処を可能にします。

　その範囲は従来のネットワーク境界に設置されたセキュリティ監視装置にとどまらず、SaaSなどクラウドサービスのログ情報、デバイスの情報、ログイン履歴など企業内の情報システム全てにまつわるログデータが集約されます。過去にサイバー攻撃にさらされた痕跡を調査するために、サイバー脅威情報基盤との連携や、脅威情報フィードの活用などもSOCの対応範囲となります。

　デバイス、ネットワーク、クラウドサービス、アイデンティティー、セキュリティ情報などさまざまな情報をリアルタイムに集約し、その中から関連性を見つけ出して企業や組織のサイバーセキュリティ対策を行うモダンSOCの運用に携わる人材には、どのような素養が必要なのでしょうか。

ネットワークセキュリティの知識

　ネットワークは全ての情報システムの基本であり、サイバー攻撃者にとって最も顕著な攻撃対象といえます。脆弱（ぜいじゃく）なネットワークでは、容易に利用者になりすまされ、攻撃者による重要なデータへのアクセスを許してしまいます。

　従来の多層防御では、ネットワーク境界線に設置されたゲートウェイを重点的に保護し、ゲートウェイを通過するネットワークトラフィックの行き先や出元、内容の詳細な観察によってサイバー攻撃の兆候を検知してきました。ネットワークセキュリティ機器は、さまざまな観点から検知し、SOCアナリストはネットワークセキュリティ機器の検出したアラートを分析し、攻撃されたのか、それとも誤検知または過検知といった対処不要のアラートなのかをトリアージする対応が行われます。

　これらの分析では、一般的なネットワークエンジニアリングの知見に加えて、過去から現在に至る、ネットワークに対するサイバー攻撃の深い知見が求められます。組織内のデバイスが侵害され外部にデータを持ち出す際の挙動や、リモートアクセスの挙動に対する知識は、ゼロトラストでも有効です。

　守る側はゼロトラストにシフトするとはいえ、サイバー攻撃者はさまざまな手法で攻撃を試みます。その際に生じる痕跡は、プリミティブなネットワークアクセスログから検知できるものが数多くあります。

　モダンSOCアナリストにも、ネットワークセキュリティの基本的な理解が求められます。

アイデンティティーとユーザーの挙動に対する理解

　アイデンティティーはゼロトラストにおいて中核を成す要素です。

　アイデンティティーは情報システム部門の管理すべき領域でしたが、ゼロトラストにおいては、アイデンティティー管理をセキュリティの要素として取り扱える必要があります。アクセスできるデータの領域や利用できるクラウドサービスの許可、使用可能なデバイスなどの利用者へのポリシーの適切な制御と割り当ては、企業や組織のガバナンスと一体化した取り組みが求められます。

　ゼロトラストでは、利用者がいつ、どのようにアクセスしたか、ネットワークが利用されたかどうかの可視化が可能です。通常通りではないと考えられる利用者の不審な挙動については、AIによってユーザーやコンピュータの異常な動作状態を検出するUEBA（User and Entity Behavior Analytics）の技術によって発見が可能になってきました。ゼロトラストでも、SIEM上の挙動監視によってアノマリーを検知し、正常なユーザーを装ったサイバー攻撃者による挙動を自動的に遮断、対処が可能です。

　モダンSOCアナリストは、これらの背景にあるユーザーの挙動やアイデンティティーの悪用といった脅威を理解し、SOCが適切に対処できているかどうかを判断できる必要があります。

Webアプリケーションセキュリティとアタックサーフェス管理

　Webアプリケーションシステムへの侵害や攻撃も広義ではネットワークセキュリティに近い領域といえますが、企業や組織の管理すべきアタックサーフェスとして最も攻撃者の前面にさらされているのがWebアプリケーションです。

　日常的に管理している情報システムやWebサービスだけでなく、キャンペーンで作成したサイトや開発用に立ち上げたサイト、検証用の環境など気軽にWebサービスをいつでも誰でも立ち上げられる現在、統一的な管理が企業や組織の大きな課題となっています。

　社内システムでも活用されるWebアプリケーションは、開発担当者やサービス運用担当者が自助努力としてパッチの適用や脆弱性への対応、WAF（Web Application Firewall）によりセキュリティを維持してきましたが、最近ではWebアプリケーションについても、モダンSOCでの取り扱いが可能になってきました。

　近年では、アタックサーフェス管理の考え方が注目されており、企業が保有する情報システムの攻撃界面を可視化し、適切に管理する製品が出てきています。これらはゼロトラストの一部としてセキュリティの取り組みに組み込むことで、脆弱性対応やアップデートなどの未然防御を適切にできるだけでなく、攻撃者の足取りや初期の攻撃痕跡に対する早期の発見、対処を可能にします。

　モダンSOCにおいては、Webアプリケーションセキュリティの技術的な理解とともにSOCに統合されるアタックサーフェスの管理や対処についての知見も求められます。

デバイスとエンドポイントセキュリティ

　デバイスについてのセキュリティ対策もゼロトラストでは統合的に行われます。

　EDR（Endpoint Detection and Response）やXDR（eXtended Detection and Response）のような検知対処技術はゼロトラストでも中心的な存在です。モバイルデバイスやノートPC、OAシステム、IoT機器、OT機器など企業や組織の取り扱うコンピュータデバイスは多岐にわたります。それぞれのデバイスに応じたエンドポイントセキュリティを考え、状況を可視化し、サイバー攻撃の兆候をいち早く見つける必要があります。そのためには「企業内にどのようなデバイスが存在しているのか」「誰が使用してよいのか」など、可視化とポリシー管理が必要です。

　小型化、低価格化し、入手が容易な機器はサイバー攻撃にも悪用されます。ゼロトラストの適切な運用では、これらのデバイスの特性や管理、デバイス上で検知されたサイバー攻撃の痕跡に対する対処などエンドポイントレスポンスの知識、デバイスに対するガバナンスの考え方も必要です。

多様化するクラウドサービスの知識

　企業や組織が事業状況に合わせてフレキシブルに変化するためには、クラウドサービスの利活用は有効です。既に多くの企業がクラウドサービスやクラウド基盤上にデジタル資産を移管しています。

　モダンSOCには、企業や組織におけるクラウドサービスが適切に利用されている状況を維持監視する役割もあります。アイデンティティーとひも付くクラウドサービスの利用制御は、不適切な情報へのアクセスや持ち出しといった内部不正に対するけん制にもなります。クラウドサービスごとに異なるセキュリティレベルやアイデンティティー管理を統合し、企業や組織で統一感のあるセキュリティをクラウドサービスに適用する必要があります。

　モダンSOCでは、クラウドサービスの利用状況の監視やポリシーの運用、データの持ち出しに対する検知と追跡などの知識も必要になります。

これからのモダンSOCアナリストとAIとの付き合い方

　ゼロトラストの司令塔となるモダンSOCの運用では、ネットワーク境界だけでなく、企業や組織が活用するデジタルワーク環境全ての情報を取り扱うための広範な知識と判断力、洞察力が求められます。

　しかし、これらの技術は一朝一夕で身に付くものではありません。これまでのセキュリティ専門家も、自分自身のキャリアや興味を通じて専門的な知識を獲得してきたと思います。モダンSOCは、このようなセキュリティ専門家がお互いの専門領域を持ち寄って対応する、総合病院のような存在といえます。

　さらに、サイバー攻撃者は、セキュリティシステムに検知されないようにセキュリティの脆弱な環境から侵入し、あたかも正規利用者であるように装って重要なデータの窃取やデバイスの無効化を試行します。

　多種大量のデータをリアルタイムにかつ24時間365日いつでも対処するには、急速に発展するAI技術の活用が欠かせません。統合的なゼロトラスト環境を「Microsoft 365」として提供するMicrosoftは、生成AIの活用によるAIセキュリティアナリスト「Microsoft Security Copilot」を2023年4月に発表しました。

　Microsoft Security Copilotは、OpenAIの生成AIチャットシステム「ChatGPT」でも使用されている「GPT4」の技術を活用し、SIEMに蓄積された情報を読み解き、サイバー攻撃の痕跡や時系列による整理、データの探索やレポートの作成など、専門家の従来業務をAIによって支援する機能です。

　生成AIの登場によって、従来プレイブックのような固定的パターンでしか対処できなかったサイバー攻撃への対処が、より人間的に、フレキシブルに行えるようになりつつあります。

　これからのモダンSOCアナリストは、自身のサイバーセキュリティの知見を生かしつつ、このようなAIアナリストをうまくコントロールして企業や組織の持つ大量のデータからいかにサイバー攻撃の痕跡や端緒を見つけ出し、早期に対処するかが問われる時代になりそうです。

筆者紹介

仲上竜太

ニューリジェンセキュリティ株式会社

CTO 兼 クラウドセキュリティ事業部 副部長

ラックと野村総合研究所の合弁によるクラウドセキュリティ企業、ニューリジェンセキュリティ株式会社のCTOを務める傍ら、進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行う。

デジタルトラストナビゲーター。家では夜な夜なクラフトビールを片手にメタバースでの生活を過ごしている。