高度化するセキュリティ対策ツール 使いこなせるか？

サイバー攻撃の巧妙化と並行して対策ツールも高度化している。脅威の検知もパターンマッチから振る舞い検知など未知の脅威にも対応できるように進化している。ログ管理においても個々に管理するのではなく、様々な機器のログを集約し相関分析をするSIEM（Security Information and Event Management）など、セキュリティインシデントを早期に検知し対策を支援するようになってきている。だが、その一方で高機能なツールを使いこなすにはそれなりの知識が必要とも言われ、導入したがなかなか期待通りの運用にはなっていないということもあるようだ。高機能なツールを使いこなすために必要なものは何か？果たして使いことなすことができるだろうか？現実的な視点で解説させていただく。

高度なツールを使いこなせるか？

✔️ 高度なセキュリティツールの代表的なもの
✔️ セキュリティツールの進化はなにをもたらすか？
✔️ 使いこなすために必要な知識と経験

高度なセキュリティツールの代表的なもの
1. 高度化するツールの3つの共通点
セキュリティツールの進化はなにをもたらすか？
1. 専門分野の中の超！専門家
使いこなすために必要な知識と経験
1. チームで運用する（1人では難しい）
まとめ

高度なセキュリティツールの代表的なもの

セキュリティ対策ツールは進化している。非常に多くの種類が存在しますが、私がイメージする高度なツールの代表的なものは

❶ SIEM（Security Information and Event Management）
❷ XDR（Extended Detection and Response）
❸ EDR（Endpoint Detection and Response）
❹ CASB（Cloud Access Security Broker）
❺ WAF（Web Application Firewall）

全て英語表記でかつアルファベットの略語で呼称されるので、どういうものか想定することは難しいかもしれない。ここでは本稿の主旨ではないので詳細は割愛させていただくが、ここにあげた5種類のツールには共通点がある。それを以下にて解説させていただく。

高度化するツールの3つの共通点

上記5つの高度なツールには3つの共通点がある。これは、ツールの高度化の傾向ともいえるものである。

複合的な管理・監視視点で構成されている

不正アクセスを防御する、ウイルスの侵入を防ぐ、ログ収集してレポート（可視化）する、ネットワークへの接続を禁止する、ストレージデバイス接続を禁止する…等々…目的が明確でその対象が単一であるものがメインであった。だが、通信はネットワークという網を流れているし、経由する機器も多岐に渡るため、特定の箇所を個別に管理していたのでは、未知および潜在的な脅威を検知できないであろうとの視点から、総合的・複合的に管理することが、よりインシデントを早期に検知できるという考えになったのである。

※WAFに関しては、Webサイトへのアクセスを監視し、不正アクセスや攻撃を検知してブロックするというものであるため、複合的な管理視点という視点には合致していないと認識されるかもしれないが、以下については共通点があるのでこの項については、共通ではないことをご了承いただきたい。

サービスがセットになっている

複数のポイントで、稼働状態を監視しログ収集にて不正を検知、未知の脅威の検知を実効性のあるものとして機能させるためには、それに（運用環境）に応じた各種設定が必要になる。“とりあえず”の設定をすることは否定はしないが、誤検知や検知するものが抜けてしまうなど本来の高度な機能が発揮できない。

試運転的に稼働をさせて、最適な設定値を見出し稼働させるには、各種監視ポイントに応じた知識と経験が必要になる。また、時間も必要となる。運用が難しいとの印象を持たれていることから、製品販売をして運用をお客様でやってくださいという体系だと導入が加速していかないため、ベンダーは製品とそれを運用するサービスをセットで販売するケースが多くなっているのだ。これが、高度化しているツールに見られる顕著な傾向の一つである。

クラウドサービスで提供されている

もう一つの共通点はクラウドサービスとして提供されていることだ。これは特に高度なセキュリティツールに限ったことではなく、昨今の傾向でもあるのだが、「高度なツール＝高価格」となる。初期費用を抑えるためにも、月額のサービスとして提供されることが多い。また、ツール稼働のためのハードウェアを自前で構築することも避けたいとの考えがあるようで、ハード一体型が主流であったWAFも最近は、安価なクラウドサービスとして提供されいるものも増えている。

導入するハードルが低くなるという意味においては、クラウドサービスでの提供は歓迎すべきことではないかと考える。

セキュリティツールの進化はなにをもたらすか？

ツールが高度化することによってセキュリティ対策は強化されるのだろうか？素直に考えるとそうなのだろうが、現実的にはそうシンプルな構図になっているようには見えない。（筆者の主観でもあるのだが）本稿のテーマでもある使いこなすことができたら、それはセキュリティ強化にはなるであろう。未知の脅威を早期に検知することが可能であり、検知後は被害の拡大を防止するための防御機能が作動するのだから。

セキュリティという観点で考えると難しいところもあるので、私がセミナーなどでわかりやすく解説するために医療に置き換えることが多いのだが、本稿でもその視点で説明をしたい。

医療機器と技術の発達、発展によって、癌の早期発見が可能となり適切な治療を施すことで癌を克服したなどという話はそれほど珍しくはないだろう。癌は不治の病ではなく完治できる病気との認識にも変わってきている。機器の高性能化により、今まではあきらめていたような人たちに希望を与え、多くの人の幸せに貢献しているといえるではないか。

そう考えるとセキュリティ対策ツールの高性能化・高度化はセキュリティを強固なものにし、サイバー攻撃を防御し、情報漏洩もなくなり、人々は個人情報の流出等の心配をすることなくITを利活用することができるようになった…と、言えるか…残念ながら、昨今のセキュリティインシデント発生状況からはそうは言えない。

なぜそうなるのだろうか？

専門分野の中の超！専門家

高度なツールが多くの貢献をもたらすことは間違いないと思うのだが、大前提となるのがそのツールを使いこなすために知識と経験が必要である。ということなのだ。ツールそのものが威力を発揮するのではなく、そのツールを誰が使うかによって得られる結果は大きく異なるということなのである。

CT画像

MRI画像

上記は人体の中身を映像化したものだ。人体を透過して見ることで病原体を検知するという技術は凄いものである。それは誰もがそう思うだろう。だが、この写真を見てどこに問題や病原体があるのかわかるだろうか？医療の素人が見ても、白いところと黒いところがある…なんか影のようなものが…など、見た目の感想を言うことはできるだろうが、病原体を見つけることは難しい。

医者であっても、全ての医者が等しく病原体を検知できるかというとそうではないのだ。このような写真は放射線科医という専門医がいて、その中でも熟練（多くの臨床経験と知見を有する）の医師でなければ、発見できない癌があったりするのだ。

他の医者には見えないものが見えるという医者が存在する。そういう医者に出会えたらラッキーであるが、そうでなければ検査をしても異常なし。という診断がくだってしまうことになる。医者の言うことは「絶対」という風潮がある時にはなかったことだが、最近では1人医師による診断だけではなく、セカンドオピニオンとして他の医師の視点からも検査結果を診断してもらう行動は一般化している。

ITについてもセカンドオピニオンという考え方は有益である。

ITアドバイザー【セカンドオピニオン】を活用する！

中小企業の経営者が適切なIT投資が決断できるように、ITアドバイザーという存在が重要であることを解説させていただく。知らない...分からない...状態を解消して、ITベンダーのススメられるままに製品・サービスを導入するという現実を打破するためにITアドバイザーが経営者に安心を与えることができる。どういう人があなたのITアドバイザーとして適切なのかその選定視点についても解説する。

高度なツールを使いこなせるか？の、答えとしては、それなりの経験と知識がないとツールの本来の機能を効果的に使うということは困難である。ということになるのだ。ITセキュリティにおいては、どのような経験と知識が必要となるのか？

使いこなすために必要な知識と経験

使いこなすための知識として、具体的にこれとあれです。と言い切るのは難しい。経験にしても、何年、何回など定量化して論じることも難しい。ただ、高度なツールは前述の通り複合的な観点で管理・監視をしていることからIT知識の中でも幅広く知っていなければならないということになる。

✔️ PC/OS：Windows、Linux、Mac…
✔️ ネットワーク（設置機器など）
✔️ 通信（プロトコルなど）
✔️ アプリケーション
✔️ Webアプリ
✔️ クラウドサービス
✔️ 各種ログ…

…等々…大きなカテゴリーでピックアップしたが、現実的にはもう少し詳細で多様な領域が存在する。全てに深く知識を有している必要はないとしても、幅広くサポートするにも限界があり、そのようなITエンジニアは存在しないであろう。

チームで運用する（1人では難しい）

ツールの機能を覚えて使える（操作する）ようになるのは、経験を積むこと（慣れるとう意味も含め）でクリアできるであろうが、それは使いこなしているという状態ではない。多くの知識が必要となることは前述したが、結果として1人で運用することは難しいという結論に至るのだ。

1人で複数の得意分野があるエンジニアは存在する。異なる得意分野を持つエンジニアがチームで運用する体制があれば、高度なツールの本来の機能を発揮させることは可能だ。それが、SOC（Security Operation Center）サービスを提供している事業者なのだ。製品をサービスとして提供する形態になるというのは、そう簡単に運用することはできないということを表明していると認識すべきであろう。

IT関連業務は専門知識を必要とする分野のものである。その中のセキュリティ対策…高度なツールを使いこなせるか…専門分野の専門家の中の更に特定分野に長けた専門家とセットになることで、ツールは効果を発揮することになる。社内でSOCを組織している大手企業だと、運用することはできるかもしれないが、情報システム部門が存在して複数のIT専任者がいても、高度なツールを使いこなすということは極めて難しいのではないか…それが、本稿の結論となる。