マルチベンダー セキュリティ プラットフォームにはどんな弊害がある?

Oct 15, 2023
1 minutes
... views

はじめに

攻撃の自動化やAI技術、商用ツール、オープンソースツールなどの利用が増えるにつれ、どの組織のセキュリティチームも人手ではとてもさばききれないような数のイベントアラートを日々セキュリティ機器から受け取っています。人手を極力排した効率的な対策の重要性が話題にのぼる機会も増えており、とくに「セキュリティプラットフォームをどのように構築すべきか」という話題は、セキュリティ対策関連の話題の中心になってきたといえるでしょう。実際に、SASEやXDR、CNAPPなど、いくつかのソリューションを組み合わせた統合型のアプローチはいま大きな注目を集めています。

その一方で、「シングルベンダーに集約するのはまだ抵抗がある」として、統合型のセキュリティシステムへの移行を躊躇されている方も少なくはないのが実情です。

そこで今月は、サイバー攻撃の質量やサイバー攻撃に対する防御のしくみが大きく変わりつつある現在、旧来のマルチベンダー環境を維持することがもたらすリスクを 3 つ取り上げて考えたいと思います。皆さんがマルチベンダーによるセキュリティプラットフォーム構築を検討中の場合は、これらの課題にどのように対応するかを考えておくべきでしょう。

1. マルチベンダー環境は統制・管理が難しい

利用する製品が多様化すればするほど、各製品の管理に必要なスキル習得、資産管理、運用管理負荷、機器間の機能重複は増えてしまいます。

それだけでなく、こうした多様化はサイバー攻撃対策上、もっと深刻な問題をもたらします。それは、「組み合わされた個々の製品の特徴やそれらの連携による効果をユーザー自身が把握しづらい」という問題です。

攻撃は最もセキュリティ強度が弱いところが狙われます。ですから、個々の製品におけるパターン情報 (シグネチャ) の更新タイミングの違いや脅威情報の収集方法などを含め、各製品の特徴を利用者であるユーザーが把握し、常に対策に抜けや漏れがないようにしておかねばなりません。要するに「単に最初に導入した製品と連携できる製品を選定してしまっていないか?」「SIベンダーが提案できる製品を組み合わせただけになっていないか?」などを、常に自問自答する必要があるのです。

複数の製品を導入する都合上、製品ごとにリプレースのタイミングが異なることもよくあります。「償却期間が残っている既存製品に合わせてそのとき選べる製品から選んだところ、対策を最適に保てなくなってしまった」ということが起きないよう、細やかな配慮が必要になります。

2. マルチベンダー環境は相関分析に必要な情報が不足しやすい

ログを十分な精度で分析するには、情報提供元の製品間でログ形式が標準化されている必要があります。そうでなければ、どれほど多数のセキュリティ製品からログを収集しても、分析に必要な情報が足りず、分析が不完全になりかねないからです。

残念ながら、マルチベンダー環境ではログ形式や情報ソースの標準化が進んでいないケースがいまだめずらしくありません。XDRやSIEMの分析力が優れていても、元の情報が不足していれば分析はうまくいかないもの。マルチベンダー環境を維持する場合は、情報ソースとなるセキュリティ機器と、分析システムであるXDRやSIEMの間で、あらかじめこの問題を解決しておく必要があるでしょう。

3. マルチベンダー環境で分析製品のAIは強化しづらい

XDRやSIEMなどの情報分析製品のAIを強化するには、洗練された新鮮な生データが必要です。ところが情報提供元の製品のベンダーとこれらXDR/SIEM製品のベンダーが異なる場合、後者のAI学習段階で必要な生データをタイミングよく入手しつづけることは難しくなります。こうした場合に新鮮な生データを手に入れて自社製品のAIを強化するには、情報提供元ベンダーの多種多様なセキュリティ機器を自社で所有し、さらに実世界で生データを収集する環境を構築し、AIに学習させる必要があるでしょう。市場に出回っているセキュリティ機器の多様さを考えると、この解決方法はあまり現実的・効率的とはいえません。

最後に

本稿は、マルチベンダー環境でセキュリティプラットフォームを構築する課題を大きく 3 つ取り上げました。これら 3 つの課題がもたらすさらに大きな課題は「これら 3 つを解決しないとマルチベンダー環境でセキュリティ対策を人による作業からAIを利用した自動化へシフトすることが困難」という点にまとめられます。

今、各組織が対応しているインシデントのアラート数は人手で対応可能な範囲を超えています。この状況でサイバーセキュリティ対策を成功させられるかどうかは、AIの強化と自動化をどこまで一気通貫に実現できるかにかかっていると言っても過言ではありません。

各製品ベンダーは、情報の集約と、集約した情報をAIに学習させる環境をもつ必要がありますし、得られたデータをもとに効果的な学習を支援するAI開発の知識やサイバー攻撃に対する洞察も求められます。

マルチベンダーによるセキュリティプラットフォーム構築を検討している場合は、これらの課題にどのように対応するかを導入する側があらかじめ考慮しておく必要があるでしょう。


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.