検索
連載

最近のサイバーセキュリティ製品で注目すべき機能とは?Gartner Insights Pickup(307)

先日、数人の同僚とサイバーセキュリティ製品の進化について議論した。本稿では、それらの注目すべき機能について具体的に紹介する。

[Dionisio Zumerle, Gartner] PC用表示 関連情報
Share
Tweet
LINE
Hatena

ガートナーの米国本社発のオフィシャルサイト「Insights」や、アナリストらのブログサイト「Gartner Blog Network」などから、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 少し前に、数人の同僚と議論していて(Gartnerのアナリストとして最も知的満足感が得られることの1つだ)、サイバーセキュリティ製品の進化についての幾つかの考え方を説明した。その際に一部の同僚から、対外的に紹介してはどうかとアドバイスを受けた。そこで私は、入社から10年余りで初めてになるが、「Gartner Blog Network」に投稿する良い機会だと考えた。

 主なテーマは、「サイバーセキュリティ分野で過去3〜5年間に登場した興味深い製品や新しい製品は、以下の3つの機能のうち1つ以上を提供する」というものだ。

  • 攻撃対象領域管理(Attack Surface Management:アタックサーフェスマネジメント)

 現在動作している環境を検出し、コンポーネント間の関係を洗い出し、外部から攻撃される可能性がある要素を特定する。

  • セキュリティ態勢管理(Security Posture Management)

 資産のカタログ化と評価、構成ミスの特定、見つかった問題のリスクベースの優先順位付け、是正策の提案を行う。ツールに「現状のどこに問題があるか見つける」よう指示すると、これらのことが行われる。

  • 検知・対応(Detection and Response)

 本番稼働中に、疑わしい動作を特定し、アラートを発するか、または是正策を講じる。

 分野名(「クラウド」「アプリケーション」「データ」「SaaS」「エンドポイント」「ネットワーク」など)を先頭に付け、上に挙げた3つの機能名のいずれかをつなげて、各英単語の頭文字を取ると、最近よく耳にするさまざまな略語になる。

 例えば、「EDR」(Endpoint Detection and Response:エンドポイント検知・対応)、「CSPM」(Cloud Security Posture Management:クラウドセキュリティ態勢管理)、「SSPM」(SaaS Security Posture Management:SaaSセキュリティ態勢管理)、「NDR」(Network Detection and Response:ネットワーク検知・対応)、「ASPM」(Application Security Posture Management:アプリケーションセキュリティ態勢管理)といった具合だ。

 上に挙げた3つの主要なサイバーセキュリティ機能のうち、「攻撃対象領域管理」(ASM:Attack Surface Management)機能は、「態勢管理」機能とセットになっていることが多い。また、これら3つの機能が1つのプラットフォームにまとめられていることもある。後者の例として、API保護製品やクラウドネイティブアプリケーション保護プラットフォーム(CNAPP:Cloud Native Application Protection Platforms)が挙げられる。

 「攻撃対象領域管理」「態勢管理」「検知・対応」が、サイバーセキュリティ機能の主流となっているのはなぜか。端的に言えば、これらの機能が、セキュリティ担当者が行う業務の近年の変化に対応しているからだ。セキュリティ担当者は、インフラやアプリケーションの構築、展開、構成に携わることがますます少なくなり、以下のような役割を果たすようになっている。

  1. 現状がどうなっているかを把握する
  2. どこに問題があるかを見つけ、修正を提案する
  3. 不審な動きに目を光らせる

 こうした中で新興のセキュリティベンダー(数多く存在する)は、注目を集めようとしのぎを削っている。新しいツールは既存のツールに負の影響を与えず、かつ既存のツールやインフラと統合しやすくなければならない。また、誰が操作するかにかかわらず、運用に多大な労力を要することなく、すぐに実用的な結果を提供する必要がある。

 ASPM(アプリケーションセキュリティ態勢管理)を例に取ろう。セキュリティ担当者は、コードのセキュリティテストを担当することが少なくなっている。開発者が担当するようになったからだ。ASPMツールは、ソフトウェア開発パイプラインとコードリポジトリを検出し、これらと連携する。これらをスキャンして脆弱(ぜいじゃく)なコンポーネントやパイプラインの構成ミスを探し、修正ワークフローをオーケストレートする。そのため、セキュリティリーダーは、セキュリティポリシーをソフトウェア開発パイプライン全体にわたって強化できる。

 「サイバーセキュリティ分野の最近の興味深い製品や新製品は『攻撃対象領域管理』『態勢管理』『検知・対応』の3機能のうち1つ以上を提供する」という説が成り立つためには、ほとんどの場合に当てはまる必要がある。ただし、こうした製品が全て、この説に完全に符合するとは限らない。実際、読者の皆さんの中には、この説が当てはまらない反例が既に頭に浮かんでいる人もいるかもしれない。そうした健全な批判は歓迎したい。

 だが、この説の妥当性が認められたとしても、CISOの皆さん(私の通常のアドバイス先)にとってどう役立つかが問題だ。実のところ、私も完全には確信していない。私がこの説をGartnerの調査レポートではなく、ブログ記事で取り上げたのは、それが理由の1つだ。だが、この説の考え方は、新しいサイバーセキュリティツールを検討する際に、雑音に惑わされずに本質を把握するのに役立つはずだ。

 新しいサイバーセキュリティ製品を次に提案されたときは、上の説で述べた、最近主流となっている機能を提供しているかどうか、提供している場合は、その中身がどんなものかに注目していただきたい。何でもできる製品を探すべきではない。製品が現在のニーズを満たすかどうか、どう満たすかを、より簡単に理解することが重要だ。

 個々の製品について、例えば、以下の点をチェックすることをお勧めしたい。

  • ディスカバリ機能を自動で行うのか、あるいは手動で行う必要があるのか
  • 態勢管理機能を提供し、リスク軽減のために現在の環境で修正すべき事項を特定するか
  • 本番稼働中に動作パターンの異常を検出し、保護を行うか

出典:What Do Modern Cybersecurity Products Do?(Gartner Blog Network)

※「Gartner Blog Network」は、Gartnerのアナリストが自身のアイデアを試し、リサーチを前進させるための場として提供しています。Gartnerのアナリストが同サイトに投稿するコンテンツは、Gartnerの標準的な編集レビューを受けていません。ブログポストにおける全てのコメントや意見は投稿者自身のものであり、Gartnerおよびその経営陣の考え方を代弁するものではありません。

筆者 Dionisio Zumerle

VP Analyst


Copyright © ITmedia, Inc. All Rights Reserved.

[an error occurred while processing this directive]
ページトップに戻る