クラウドにおける「インテリジェント・インシデント・レスポンス」

2023年10月10日- By Thach Nguyen

クラウド・コンピューティングの時代には、データへのアクセスがより容易になり、ネットワークはかつてないほど大規模になります。企業組織は、より進化したインシデント対応メカニズムを備える必要があります。クラウドにおけるインテリジェントなインシデント・レスポンス(対応)へようこそ。

 

Ⅰ.リアクティブからプロアクティブへ

インテリジェント・インシデント・レスポンスの話に入る前に、現状を理解しておきましょう。クラウドは拡張性、柔軟性、費用対効果を提供しますが、一方で複雑さも伴います。クラウドにおけるセキュリティ・インシデントは、データ侵害からアカウントの乗っ取り、DDoS攻撃まで多岐にわたります。クラウドはダイナミックでデータ等の共有に優れているがゆえに、プロアクティブなアプローチが必要です。そこで登場するのが脅威インテリジェンスです。ここでのインテリジェンスは、エビデンスに基づいた知識を指し、脅威インテリジェンスとは、資産を脅かす既存のあるいは新たな危険や害について、背景からメカニズム、指標、意味、アクションまで踏まえたアドバイスということになります。

従来のインシデント対応は、インシデントが発生してから対処するというリアクティブなものでした。しかし、インテリジェンスの統合により、プロアクティブなインシデント対応へとシフトしています。この新しいアプローチは、単に消火活動を行うだけでなく、予測、予防、学習を行います。

Ⅱ. 実現する方法

  1. AIと機械学習

AIと機械学習(ML)は、インテリジェントなインシデント対応の最新技術です。これらのテクノロジーを使用することで、システムは標準から逸脱した異常な動作を検出することができます。例えば、MLアルゴリズムは、過去のデータから学習し、アカウント侵害を示す可能性のある異常なログインパターンを発見することができます。

ハイライト:AWS Macieは、PIIや知的財産などの機密データを識別するために機械学習を使用します。コンプライアンスを維持し、データをプロアクティブに保護するのに役立ちます。

  1. 脅威インテリジェンス

知は力なりという言葉がありますが、脅威インテリジェンス・フィードはまさにその例で、最新の脅威状況を通知してくれます。これらのフィードをクラウド・セキュリティに統合することで、リアルタイムに防御を強化させることができます。

ハイライト: IBM X-Force はクラウドベースの脅威インテリジェンス・プラットフォームです。

  1. 自動化

対応を自動化することで、脅威の検知 から対応までの時間を大幅に短縮できます。セキュリティ侵害 された仮想マシンを隔離するなど、別のマシンに影響が連鎖しないよう封じ込め 戦略を自動化し、ツール間で対応をオーケストレーションします。

ハイライト:Azure Logic Appsを使用すると、コードを1行も書かずにワークフローを自動化できます。Azure Sentinelと統合することで、インテリジェントなセキュリティオーケストレーションを実現できます。

  1. コンテキスト

コンテキスト化とは、さまざまなソースからのデータの関連付けのことです。各データ単独ではほとんど意味を持ちませんが、組み合わせることで、インシデントの優先順位付けと対応の策定を行えるようになります。

ハイライト:Palo Alto Cortex XSOAR は、コンテキスト化されたセキュリティインサイトを提供する、セキュリティオーケストレーション、オートメーション、およびレスポンス(SOAR)ツールの一例です。

  1. 継続的な学習

インシデント対応プロセスは、インシデントが終了しても終わりません。教訓を学ぶ必要があります。インテリジェント・システムは、これらの教訓を将来の予測や対応メカニズムの改善に活用します。

Ⅲ. 文化の構築

インテリジェントなインシデント対応で見落とされがちなのが人的要素です。すなわちセキュリティ文化を醸成する必要があります。スタッフをトレーニングし、セキュリティ研修を実施し、部門間のコミュニケーションを促します。インシデントに対応する自覚と訓練を受けたチームは、組織にとってかけがえのない財産となります。

Ⅳ. 未来へ向けて

ますますクラウド中心の世界に移行する中で、課題は膨大にありますが、インテリジェント・インシデント・レスポンスがあれば、より優れた対応が可能になります。

一言で言えば、インテリジェントなインシデント対応とは、眠らない仮想セキュリティ・アナリストを持つようなものです。それは単に一連のツールを採用するということではなく、クラウドにおけるセキュリティへのアプローチ方法の根本的な転換なのです。 

サイバーセキュリティ・コミュニティとのコラボレーション

インテリジェント・インシデント対応の次のフロンティアとして、サイバーセキュリティ・コミュニティとのコラボレーションが挙げられます。洞察力を共有し、他者から学び、集団でディフェンス戦略を構築しましょう。Cyber Threat AllianceのようなプラットフォームやRedditのr/cybersecurityのようなフォーラムは、素晴らしい出発点です。

量子技術の統合

量子コンピューティングはもはやSFではありません。クラウドセキュリティへの統合は、インシデント・レスポンスに革命をもたらす可能性があります。天文学的な量のデータをわずか数秒で処理・分析できるようになることを想像してみてください。黎明期ではありますが、今後も目が離せない分野です。

人間とAIのパートナーシップ

最後に、人間的な要素も忘れてはなりません。AIや自動化は強力ですが、人間の直感や経験に取って代わることはできません。インテリジェントなインシデント対応の未来は、AIシステムと人間のアナリストのパートナーシップにあります。この相乗効果により、より洗練された正確な対応が可能になります。

まとめ

インテリジェントなインシデント対応は単なる技術的な転換ではなく、組織的な転換です。新しいツールやテクノロジーへの投資だけでなく、人材やプロセスへの投資も必要です。それは、進化し、学習し、変化し続ける脅威に対して防御できるシステムを構築することです。

私たちは今、クラウドセキュリティの新時代の最前線に立っています。インテリジェンス、積極性、コラボレーションが柱となる時代です。前途は多難ですが、チャンスにも満ちています。だからこそ、知識、ツール、マインドセットを備えていきましょう。コミュニティに参加し、最新技術を常に把握し、人的要素の力を過小評価しないようにしましょう。すべての人にとってクラウドがより安全でセキュアなものとなることを願います。

 

Rackspace Technologyの日本国内サービスは、アイレット株式会社Global Solutions事業部より提供しております。

Amazon AWSとMicrosoft Azureの導入検討のコンサルティング(勉強会)から構築、運用・保守までワンストップのクラウド支援サービスです。本記事で取り上げたようなセキュリティニーズへの対応も強みの一つですので、まずはお気軽にご相談ください。