データコンサルタントおよびデータアナリストの視点から、セキュリティツールの統合、特にCNAPPへの統合がもたらすデータ活用と分析における利点を以下に述べます。
多くの組織では、クラウドネイティブアプリケーションのリスク管理に対応するため、複数のポイントソリューションを導入しており、Gartnerの分析によれば、その数は10を超える場合もあります。しかし、これらの多様なツール群は、それぞれが独自のフォーマットでデータを生成するため、データの収集、統合、正規化に多大な労力が必要となり、データ分析の障壁となります。分析基盤が断片化されることで、クラウドネイティブアプリケーションが持つリスクの全体像を正確に把握し、データに基づいた効果的な優先順位付けや修復を行うことが困難になります。
CNAPPサービスへの統合が進むことには、データ統合と分析基盤構築の観点から明確な理由があります。ベンダー、コンソール、ポリシー、契約といった運用の要素を統合することは、データ収集パイプラインの複雑さを軽減し、設定ミスによるデータ欠損や不整合のリスクを低減します。これにより、データ品質と信頼性が向上し、より正確な分析が可能となります。
統合されたプラットフォーム上では、開発から運用までのライフサイクル全体を通じて、一貫したセキュリティポリシーをデータとして定義・管理することが可能になります。このポリシーの一貫性は、すべてのアプリケーションアーティファクト(コード、コンテナ、VM、サーバーレス機能など)から生成されるイベントデータやログデータに構造と一貫性をもたらし、分析効率を大幅に向上させます。複数の製品間でのポリシー重複が排除されることで、データモデルの標準化が促進され、分析軸の明確化に貢献します。
単一のベンダーが提供するCNAPPサービスを採用することで、すべてのイベントロギング、レポート、アラート、そしてシステム間の関係性を示すマッピングデータを、単一のデータレイク、統合されたデータモデル、そして関係性を分析するためのグラフデータベースとして実装することが理想となります。これにより、異なるソースからのデータを容易に相関分析し、リスクの根本原因を特定し、その対応を担うべき個人やチームをデータに基づいて特定することが可能になります。これは、リスクデータを中心としたオペレーション(Risk Ops)のビジョンを実現する上で不可欠なデータ基盤となります。統合されたデータと分析に基づいたリスク優先順位付けは、攻撃対象領域の客観的な評価と、最も効果的な修復活動へのリソース配分を可能にし、結果として修復時間の短縮に直接的に貢献します。
ポリシーの一貫した適用と、データに基づいた修復活動のリスク優先順位付けは、開発プロセスにもデータ駆動型のフィードバックループを構築します。CNAPP製品は、従来のリリース前の大規模なテストに代わり、ライフサイクル全体にわたる継続的なセキュリティテストを開発者のツールセットに直接統合することを可能にします。これは、開発の早い段階でセキュリティ関連のデータポイントを収集・分析し、問題点を早期に特定して修正することを支援します。これにより、再作業のコストが削減され、アプリケーションの展開をデータに基づき迅速化できます。
統合プラットフォームは、冗長なセキュリティ機能(例:多くのクラウドプロバイダーが提供するコンテナ脆弱性スキャン)によって生成される重複データや、それに伴う分析の複雑さを排除します。
ランタイムにおける可視性は、生成されるテレメトリデータを分析することでより容易に実現され、このデータからの洞察は開発チームへの具体的なフィードバックとして活用できます。同様に、単一のプラットフォームが提供する開発段階での可視性データは、ランタイム環境での防御戦略を強化するための重要なインプットとなります。データ統合は、開発と運用の間のフィードバックループをデータでつなぎ、継続的なセキュリティ改善を推進します。
例えば、Falcon Cloud Securityは、複数のCNAPP機能を単一のソリューションに統合することで、セキュリティ運用におけるデータ収集、分析、可視化のプロセスを合理化します。エンドポイント、クラウドワークロード、アイデンティティ、データなど、広範な領域をカバーするポイント製品群からの異質なデータを統合し、エンドツーエンドのデータカバレッジを提供することで、データ分析における複雑さを排除し、データに基づいたセキュリティ posture の管理を可能にします。
結論として、セキュリティツールの統合は、単に運用の簡素化にとどまらず、複数のソースからのデータを統合し、分析基盤を強化することで、クラウドネイティブ環境におけるリスク管理をデータ駆動型アプローチへと進化させるための重要なステップです。統合されたデータは、より正確なリスク特定、効果的な優先順位付け、迅速な修復を可能にし、組織全体のセキュリティ posture の向上に不可欠な要素となります。
データコンサルタントおよびデータアナリストの視点から、クラウド環境におけるセキュリティ脅威と、それに対抗するためのデータ活用の必要性について以下に分析します。
クラウド環境を起点とするセキュリティ関連のイベントデータは、脅威の進化と共に量と速度の両面で増加の一途をたどっており、攻撃者の活動が鈍化する兆候は見られません。クラウドストライクの2023年版グローバル脅威レポートが示すように、クラウド関連のエクスプロイトに関するデータは前年比で95%増加し、クラウド環境を標的とする脅威アクターに関連する活動データは288%増加しました。これは、処理すべきセキュリティイベントデータの量が爆発的に増大していることを意味します。
同時に、攻撃者はクラウドセキュリティにおけるデータ収集や分析のギャップを悪用するための新たな手法を継続的に取り入れ、その手口は巧妙化かつ高速化しています。クラウドストライクの2023年版脅威ハンティングレポートのデータによれば、攻撃者がエンタープライズ環境への侵入を成功させてから、内部での水平移動(ラテラルムーブメント)を開始するまでの平均ブレイクアウトタイムはわずか79分であり、観測された最短時間はわずか7分でした。このデータは、セキュリティチームが脅威を検知し、分析し、対応するための時間的猶予が極めて短いことを示しており、リアルタイムまたはニアリアルタイムでのデータ収集、処理、分析能力が不可欠であることを強く示唆しています。
効果的な防御戦略を構築するためには、データ活用が鍵となります。クラウドセキュリティの有効性は、オンプレミス、ハイブリッド、マルチクラウドといった分散した異質な環境全体から、関連するセキュリティデータを統合的に収集し、正確に関連付け、高速で分析する能力に直接的に依存します。データ分析を通じて、攻撃者よりも先に潜在的な脆弱性や悪用可能な構成ミスを特定することが、現代の防御側にとって極めて重要なデータ活用の要件となっています。しかし、セキュリティに対する従来型のアプローチが収集するデータは、クラウドネイティブな技術(特にコンテナなど)がもたらす新しいリスクに対して、必要なきめ細かさやコンテキスト情報を欠く場合が多く、リスク管理に必要な詳細な可視性を提供できていません。
複数のクラウド環境とオンプレミスシステムにセキュリティ関連のデータソースが分散しているハイブリッド展開は、データ収集パイプラインの構築と管理に複雑性をもたらし、データ処理の遅延やデータ統合における運用上のオーバーヘッドを増大させます。さらに、多くのサイロ化された監視および修復ソリューションが生成する断片化されたデータは、セキュリティ posture の全体像を把握する上でデータの死角を生み出し、データに基づいた正確なリスクの検知、客観的な優先順位付け、効果的な修復策の決定を困難にしています。
増大するクラウド攻撃のデータ量と、攻撃手法の進化に対抗するためには、データ収集、分析、そしてデータに基づいた意思決定プロセスを根本的に見直す、よりデータ駆動型のセキュリティアプローチが不可欠です。この新しいアプローチは、環境全体から継続的にデータを収集し、高精度な分析を通じて攻撃者の戦術(初期アクセス、ラテラルムーブメント、特権エスカレーション、防御回避、データ収集など)に関する正確なインテリジェンス(洞察)を提供することを目的とします。データ分析によって攻撃者の意図や行動パターンを予測し、先手を打つためのデータに基づいたアクションを可能にすることが、現代のクラウドセキュリティにおける重要な課題であり、データコンサルタントおよびデータアナリストが貢献できる領域です。
クラウド環境におけるセキュリティリスクに関するデータは、その発生頻度と多様性において増加傾向にあり、分析すべきデータ量は膨大です。主要クラウドプロバイダー(AWS、Azure、Google Cloud、Oracle Cloud、Alibaba Cloudなど)における数十億に上るクラウド資産のスキャンデータを独自に収集・分析した「State of Cloud Security Report 2024」は、こうした膨大なデータからクラウドセキュリティに関する最新の脅威動向を明らかにし、環境に存在するリスクの現状に関するデータに基づいた貴重な洞察を提供しています。
現代のクラウド環境は極めて複雑化しており、この複雑性はセキュリティ関連のデータ収集、統合、分析に大きな課題をもたらします。管理の複雑さに起因する設定ミス、過剰な権限付与、未修復の脆弱性といったリスクは、それぞれが重要なデータポイントですが、これらがツールや環境間で断片化されてしまうと、セキュリティ posture の全体像把握を困難にし、機密データを脆弱な状態に置くセキュリティの穴となります。
Tenable Researchのデータ分析によれば、組織の4割がクラウドセキュリティにおいて「有害なトライアド」(ネットワーク上に露呈されており、既知の危険な脆弱性を持つ、かつ高度な権限が付与されている、というデータ属性を持つ資産)を抱えているという調査結果があります。このデータは、複数のリスクデータポイント(公開状況、脆弱性情報、権限情報)を関連付けて分析することの重要性を示唆しています。
これらの課題に対し、ハイブリッドおよびマルチクラウド環境全体から、脆弱性、設定ミス、過剰権限といった多様なリスクデータを統合的に収集・可視化し、データ分析に基づいて対策の優先順位付けを行うことが、データ駆動型リスク管理において極めて重要となります。
CNAPP(Cloud Native Application Protection Platform)のような新しいアプローチは、クラウドセキュリティ強化と運用課題の解決におけるデータ活用の中心となります。特に、Orca Securityのようなツールは、エージェントレスや独自技術である「SideScanning」を用いることで、既存システムへの影響を最小限に抑えつつ、リスク分析に必要な構成、脆弱性、権限情報などのセキュリティ関連データを効率的に収集します。セキュリティレポートで示される脅威が、実際のツールでどのようにデータとして可視化され、分析できるかについて、デモを通じて具体的なデータ活用の方法論を確認できます。
テナブルは、これらの課題に対し、ハイブリッドおよびマルチクラウド環境全体から、脆弱性、設定ミス、過剰権限といった多様なリスクデータを統合的に収集・可視化することの重要性を強調しています。提供されるウェビナーでは、テナブルのクラウドセキュリティ製品が、収集したデータに基づいて、対応の優先順位を高くすべきリスクをどのように特定し、どのようなデータ分析に基づいた対策方法を提案するかを、デモを通じて解説します。これは、クラウドセキュリティ施策におけるデータ活用の検討、あるいは現場でのセキュリティイベントデータ対応に課題を抱える担当者にとって、有用なデータ分析に基づいた知見を得られる機会となるでしょう。
データコンサルタントおよびデータアナリストの視点から、クラウド環境におけるセキュリティ運用とそのデータ活用に関する課題、そして対応策について以下に分析します。
AWS環境でのサービス開発・展開において、プロアクティブなセキュリティ対策の重要性は広く認識されています。しかし、実際の運用現場では、生成される大量のセキュリティイベントデータに起因するインシデントアラートのノイズに圧倒され、真に重要なデータポイントを見落としてしまったり、インシデント発生後のデータ分析(事後対応)にリソースが集中し、将来のリスクを予測・防止するためのデータ分析(プロアクティブな対応)まで手が回らないというデータ活用の課題がしばしば見られます。
近年増加の一途をたどるサイバー攻撃は、その手法が高度化・多様化しており、これら脅威データパターンを正確に分析し、対応できる高度なデータ分析スキルを持つセキュリティ人材の不足は、組織のセキュリティ強化における大きな課題となっています。
現在、AWS、Microsoft Azure、Google Cloudといったパブリッククラウドを利用したシステム環境の構築・運用が拡大しています。その一方で、オンプレミス環境とは異なるクラウド環境固有のデータソースやデータ構造に関連するセキュリティ課題が顕在化しています。近年、サイバー攻撃の手法はますます洗練されており、AI(人工知能)を利用したマルウェア生成や攻撃の自動化といった、データパターンが高速に変化する脅威が見られます。また、世界中で報告されるランサムウェア攻撃の被害データは、データ漏洩やシステム停止といったビジネスインパクトを伴う深刻なリスクの増加を示しています。
大規模な企業・組織では3つ以上のクラウドサービスを利用することも一般的になり、現在のクラウド環境はこれまで以上に複雑化しています。この複雑なシステム構成は、セキュリティ関連のデータ収集ポイントを網羅することや、異なる環境からのデータを統合的に分析することに困難をもたらし、セキュリティ posture の全体像をデータとして把握することを阻害します。
多様な種類のセキュリティ製品・サービスが導入され、複数のツールを活用したセキュリティ対策が実施されています。しかし、各ツールから出力されるログデータやアラートデータは多種多様なフォーマットであり、データ統合の困難さやデータの網羅性の不足により、収集したデータを効果的に分析・活用できていない現状が見られます。これは、データ分析に基づいた対策の効果を限定的なものにしてしまいます。
これらのデータ収集、分析、人材に関する課題に対するアプローチとして、パブリッククラウド環境向けのフルマネージドセキュリティサービスである「CloudFastener」のようなソリューションが有効です。これは、AWS環境におけるセキュリティ関連データの継続的な収集、統合、ノイズ削減、分析、そしてデータに基づいた対応プロセスをアウトソースすることで、データ分析の専門性やリソース不足といった課題を解決し、ビジネス開発に集中できる環境を構築する方法論を提供します。具体的な事例は、サービス導入によるデータ活用の改善効果を示すものとして参照できます。
AWS環境でサービスを開発・運用しており、セキュリティツールから生成されるアラートデータ(ノイズを含む)への対応に追われ、真に重要なインシデントデータを見落としてしまう、あるいは対応を後回しにしてしまっている現状がある担当者。プロアクティブなセキュリティ対策のためのデータ分析の必要性を認識しているものの、発生したインシデントのデータ分析(事後対応)にリソースが割かれ、予測的なデータ分析(プロアクティブな対応)が実行できていない担当者。近年のサイバー攻撃インシデントに関するデータ(事例)に接し、セキュリティ強化の必要性を感じているものの、高度化する脅威データに対応できる分析スキルを持つ人材の不足に課題を抱えている担当者にとって、これらのデータ分析に基づいた知見や、それをサービスとして提供するアプローチは有用であると考えられます。
データコンサルタントおよびデータアナリストの視点から、クラウド環境におけるセキュリティリスクのデータ特性、組織体制、そしてデータ活用ソリューションについて以下に分析します。
クラウド環境におけるセキュリティリスクは、多種多様なサイバー攻撃に由来する外部脅威と、機密情報の公開やアクセス権の過剰付与といったユーザーの設定ミスに由来する内部脅威に大別できます。これらの脅威は、それぞれ攻撃イベントデータ、構成情報、アクセスログ、ユーザー行動データといった異なるデータソースとして観測されます。
さらに、単一のデータポイントだけでは顕在化しないリスクとして、「有毒な組み合わせ(Toxic Combination)」が指摘されています。これは、特定の権限、設定、あるいは脆弱性情報といった複数の異なるデータポイントがシステム内で特定のパターンで組み合わさることで生まれるリスクであり、高度なデータ関連付け分析(グラフ分析や相関分析など)を通じて特定される必要があります。これは、セキュリティリスク評価において、個別のデータポイントだけでなく、データ間の関連性を分析することの重要性を示しています。
クラウド活用を成功に導くための専任組織として注目される「クラウドCoE(CCoE)」は、その役割上、データ駆動型アプローチの中心となります。CCoEは、システム開発、DX推進、クラウド設計、セキュリティ、経営、財務など、各部門を横断する多様なステークホルダーからのデータ(クラウド利用データ、コストデータ、セキュリティデータ、ビジネス目標データなど)を統合的に扱い、データに基づいた施策立案やガバナンスを推進します。従来のセキュリティ運用組織であるCISO(最高情報セキュリティ責任者)やCSIRT(Computer Security Incident Response Team)が技術的なセキュリティイベントデータを主に扱うのに対し、CCoEはよりビジネス視点でのクラウド活用データも扱います。両者が効果的に連携し、クラウド活用とセキュリティ管理を両立させるためには、共通のデータモデルやデータ共有基盤の構築が不可欠となります。
組織全体で安心・安全なクラウド利用を推進するためには、CCoEなどのクラウド推進部門や、セキュリティ施策の立案・実践に携わる部門が、データに基づいたセキュリティ戦略を策定・実行する必要があります。これには、CCoEのデータ活用の意義や、セキュリティの観点からクラウド利用促進、ベストプラクティス、ポリシー、ガバナンスといった領域でデータがどのように定義・管理されるべきかといった重要ポイントの理解が含まれます。
包括的なクラウドセキュリティ対策を実現するソリューションとして、CloudGuard CNAPPのようなCNAPP(Cloud Native Application Protection Platform)が注目されています。CNAPPは、CSPM(クラウド設定・構成データ)、CWPP(ワークロードデータ)、CIEM(アイデンティティ・権限データ)といった異なるカテゴリのセキュリティ関連データを単一プラットフォームに統合し、相関分析を行うことで、外部脅威や内部リスク、そして「有毒な組み合わせ」といったリスクをデータとして可視化し、対応を支援します。これは、オンプレミス環境とは異なるクラウド独自のデータソースや分析手法に対応するためのデータ統合・分析基盤としてのCNAPPの価値を示しています。これにより、オンプレミス環境とのセキュリティ対策の違いや、クラウド独自のセキュリティ対策においてデータがどのように収集・分析されるかを理解することができます。
クラウドサービス導入の初期ステップとして多くの組織が選択するSalesforceのようなSaaSプラットフォームも、データ管理とセキュリティの観点から考慮が必要です。Salesforceの利用状況データ、設定データ、アクセスログといった情報は、セキュリティイベントデータとなり得ます。これらのデータを適切に収集、管理、分析することは、SaaS利用におけるセキュリティリスク評価と対応のために不可欠であり、クラウドサービス導入全体におけるデータセキュリティ戦略の一部として位置づけられるべきです。
データコンサルタントおよびデータアナリストの視点から、Microsoftのセキュリティ製品群をデータ管理・分析の観点から、そして関連するサービスが組織のデータ活用能力向上にどのように貢献するかについて解説します。
組織全体におけるデータガバナンスとデータ保護の観点からは、機密データを含む様々なデータ資産に関するメタデータを収集・管理し、データ分類、データリネージ、データカタログといった機能を通じてデータ活用の基盤を提供するMicrosoft Purviewサービス群の活用が有効です。これにより、セキュリティ関連データを含む組織内のデータ資産の可視化と管理を強化できます。
加えて、Microsoft Sentinelは、SIEM(セキュリティ情報イベント管理)機能によって多様なソースからのセキュリティイベントログデータを統合的に収集・分析し、SOAR(セキュリティオーケストレーション自動応答)機能によってデータ分析に基づいたインシデント対応プロセスを自動化するデータ分析基盤を提供します。これは、高度化するサイバー攻撃のデータパターンに対応し、セキュリティ人材不足というデータ分析リソースの制約を補いつつ、効果的なセキュリティ運用を実現する上で重要な役割を果たします。
Microsoft 365は、認証ログ、アクセスログ、メールログ、ファイル操作ログなど、多様なセキュリティ関連データを生成する重要なデータソースであり、多くの組織のセキュリティ対策に貢献し得ます。しかし、ライセンスレベルによって収集・利用可能なセキュリティ関連データソースや、アクセスできるデータ分析・保護機能が異なるため、組織が自社のライセンスでどのようなセキュリティ関連データを活用し、どのような対策が可能なのかを十分に理解できていないというデータ活用の課題が存在します。
Microsoft 365セキュリティ製品群をデータ活用の観点から正しく理解し、セキュリティ強化に役立つ運用方法を確立することが重要です。これには、ライセンスごとに利用可能なセキュリティ関連データソース、収集されるデータの種類、そしてそれらを活用できるデータ分析・保護機能を整理し、Microsoft 365が提供するセキュリティ対策機能が、日々のセキュリティ運用における様々なデータ分析課題をどのように解決できるかを理解することが含まれます。
近年、企業のIT環境はクラウドサービスの導入によって大きく変化し、業務効率化やコスト削減がデータによって示されています。特にMicrosoft 365のような主要クラウドサービスの導入が広く進んでいます。しかし、その一方で、クラウドサービスから生成されるセキュリティ関連データと、それに伴うサイバーセキュリティリスクへの懸念も高まっています。ランサムウェアや標的型攻撃といった巧妙化するサイバー攻撃は、規模や業種を問わずあらゆる組織からのデータ侵害を試みています。実際に、2022年にはMicrosoft 365に対する標的型攻撃に関するイベントデータが250%増加したという報告があり、これは特定のクラウドサービスが収集・分析すべき脅威データ量の増加を示す具体的な指標です。クラウドサービス利用におけるデータに基づいたセキュリティ対策の重要性が改めて認識されています。
Microsoft 365からのセキュリティ関連データを効果的に活用するための支援サービスも提供されています。例えば、ライセンスに応じたセキュリティ関連データソースの活用支援、独自の高度なデータ分析に基づく脅威検知機能、データフィルタリングや優先順位付けとしての側面を持つ柔軟なアラートカスタマイズ機能などを提供するサービスは、データに基づいたセキュリティ対策の導入から継続的な監視運用におけるデータ分析までを総合的に支援します。これらのサービスの概要や、データ活用によるセキュリティ強化の導入効果について説明を受けることができます。
セキュリティベンダーや製品の統合は、セキュリティ関連データの収集・統合プロセスを簡素化し、データ分析の効率と精度を向上させるデータ駆動型のメリットをもたらします。これにより、データ処理にかかるコストを含むセキュリティ運用のコスト削減に貢献し得ます。
データコンサルタントおよびデータアナリストの視点から、ハイブリッドIT環境におけるセキュリティリスクとそのデータ活用の課題について以下に分析します。
クラウドとオンプレミス環境が混在するハイブリッドIT環境は、データソースの多様性と異なる環境間の境界の複雑化により、セキュリティリスクが高まるデータ活用の課題を抱えています。リモートワークの普及に伴いMicrosoft 365のようなクラウドサービスの導入が進む一方で、異なる環境から生成されるログやイベントデータ、設定情報といったセキュリティ関連データの収集、統合、正規化が困難になり、システム全体のセキュリティ posture をデータとして統合的に把握することや、データに基づいた一貫したセキュリティポリシーを適用することが難しくなります。境界の複雑性は、データフローやアクセス制御に関するデータポイントの増加を招き、それらの設定不備や管理不足が潜在的な脆弱性データとして蓄積されるリスクを高めます。社外からの不正アクセスや内部不正によるデータ流出、従業員ミスといったセキュリティインシデントの発生は、これらのデータ分析が喫緊の課題であることを示しています。
現在主流となっているハイブリッド環境のセキュリティ対策手法である「多層防御」は、複数のセキュリティ製品・サービスを組み合わせることで多様なセキュリティ関連データを生成しますが、これがセキュリティ運用現場におけるデータ収集・管理・分析の負荷を著しく増大させています。ネットワーク機器や各種セキュリティ機器から出力されるログ、アラート、監視イベントといった膨大なデータを収集し、意味のある情報へと変換・管理するプロセスは、データ量、データノイズ、データ種類の多様性といったデータ処理上の課題を抱えています。このデータ処理負荷に加え、専門スキルを伴うセキュリティ製品のデータ分析機能の運用方法の理解不足、大量のアラートデータの中から真に重要なデータポイントを識別する重要度判断の困難さ、そして24時間365日体制でデータ監視・分析を行うためのリソース不足、インシデント発生時のデータに基づいた迅速な原因特定・対応に関する知見不足といった、データ分析スキルに関連する課題がセキュリティ運用現場から多く指摘されています。
セキュリティ被害を防ぐため、Microsoftは長年にわたりサイバーセキュリティに関するデータ研究・分析に取り組んできました。同社が提供するMicrosoft 365には、セキュリティ関連データを収集・分析するための多くのサービスや機能が備わっています。例えば、「Microsoft 365 E3」ライセンスに含まれるMicrosoft Defenderサービス群は、悪意のあるソフトウェアや不正な活動に関連する振る舞いデータ、クラウド連携による最新の脅威インテリジェンスデータなどを収集し、振る舞いベースの検出技術や機械学習アルゴリズムといったデータ分析手法を用いて脅威を検出します。さらに、上位ライセンスである「Microsoft 365 E5」では、ゼロトラスト・セキュリティを実現するためのクラウドセキュリティ関連データ、ID管理に関連するデータ(認証、アクセス)、EDR(エンドポイント検出応答)によって収集されるエンドポイントデータといった、より高度なセキュリティ関連データ収集・分析機能が提供されます。これらの機能は、データに基づいたセキュリティ対策を強化するために重要な役割を果たします。
データコンサルタントおよびデータアナリストの視点から、クラウド環境におけるセキュリティリスクと、それに対応するためのデータ活用の必要性について以下に分析します。
近年、企業・組織による様々なクラウドサービスの利用が拡大しており、これに伴い、ログ、設定情報、アクセス記録、イベントデータといったセキュリティ関連データの量と多様性が増加しています。多くの業務がクラウドに依存する状況において、クラウド上のデータやサービス自体が主要な攻撃対象となっており、機密データやシステムに関するセキュリティ関連データ(脆弱性データ、構成ミスデータ、アクセスパターンデータなど)の重要性が増しています。実際、クラウド環境をターゲットとするサイバー攻撃は増加傾向にあり、高度化した手法によって重大なセキュリティリスクをもたらしています。
Gartnerのデータに基づいた予測(※)では、「2025年までにクラウドセキュリティインシデントの99%は顧客の過失に起因する」と示されています。これは、設定ミス、権限過剰、不適切なデータ管理といった、ユーザー側の行動や構成に関するデータポイントが、インシデントの根本原因において圧倒的に重要な要素となる可能性が高いことを強く示唆しており、これらのデータ分析と管理の重要性を浮き彫りにしています。
複数のクラウドサービスを組み合わせるマルチクラウド環境やオンプレミスとクラウドを組み合わせたハイブリッドクラウド環境の採用、さらにIT部門の管理が行き届かない「シャドーIT」の蔓延は、セキュリティ関連データの発生源を分散させ、データフォーマットの不均一性、データ収集の困難さといったデータガバナンス上の課題を引き起こし、セキュリティ管理を複雑化させています。従来のオンプレミス環境とは異なるクラウド固有のセキュリティ課題には、新しい種類のセキュリティ関連データ(APIログ、特定のクラウドサービスの構成データなど)や、それらを効率的かつ正確に分析するための新しいデータ分析手法が必要とされています。
このような状況において、企業・組織にとって「クラウドセキュリティの強化」はデータに基づいた意思決定が不可欠な重要な課題となっています。しかし、複雑なクラウド環境では、異なるプラットフォームやプロバイダーから生成される構成データ、アクセスデータ、利用状況データといったポリシー適用状況に関するデータを統合的に収集・分析し、データに基づいた一貫したセキュリティポリシーを適用・管理することが難しいという課題があります。また、潜在的なセキュリティインシデントに関するセキュリティ関連データの収集、処理、分析、相関分析の速度が十分でない場合、脅威の検知が遅れるリスクも考慮する必要があり、迅速な脅威対応のためにはリアルタイムまたはニアリアルタイムでのデータ分析能力の向上が求められます。
一口にクラウドセキュリティと言っても、ネットワークトラフィックデータ、アプリケーションログ、機密データ属性、アクセスログ、権限情報といった多岐にわたる種類のセキュリティ関連データを含みます。クラウドの利便性を享受しつつセキュリティを確保するためには、これらの多様なデータソースと、そこから得られるリスクに関するデータポイントを統合的に管理・分析することが不可欠です。
「クラウドファースト」という傾向が示す通り、将来的にクラウド環境はより広範囲で採用され、それに伴いセキュリティ関連データも一層増加・分散することが予測されます。こうした状況において、クラウドセキュリティをデータ駆動型アプローチで強化するための最適解として、CNAPP(Cloud-Native Application Protection Platform)がそのデータ統合・分析基盤としての役割で注目されています。CNAPPは、前述したネットワーク、アプリケーション、データ、アクセス/アイデンティティ管理といったセキュリティの様々な側面から生成されるセキュリティ関連データを包括的に収集・統合し、単一のデータ基盤上で分析可能にすることで、データサイロを解消し、クラウドネイティブアプリケーション全体のリスクをデータとして可視化します。
CNAPPは、予防第一のクラウドセキュリティを実現するためのデータ分析機能を備えています。例えば、CloudGuard CNAPPのようなソリューションは、CSPM(クラウド設定・構成データ)、CWPP(ワークロードデータ)、CIEM(アイデンティティ・権限データ)といった異なるカテゴリのセキュリティ関連データを収集し、これらのデータに対する高度な分析を行います。これにより、設定ミスをデータとして自動的に検知するといった予防的なリスク特定が可能になります。CNAPPの活用方法を示すデモなどは、CNAPPが収集・分析したリスクデータをどのように可視化し、ユーザーがデータに基づいたリスクを理解し、効果的な対応を効率的に行えるよう支援するかを示すものです。
将来のマルチクラウド環境への対応計画策定や、現状のクラウドセキュリティ対策のデータに基づいた客観的な評価を行う上で、CNAPPが提供する統合されたセキュリティ関連データと分析結果は、データに基づいた意思決定に不可欠な情報を提供します。CNAPPがどのようなセキュリティ関連データを収集し、どのような分析を通じてリスクを可視化するのかを理解することは、データ駆動型のクラウドセキュリティ戦略を策定する上で重要です。
※:引用元【Gartner「Is the Cloud Secure?」 (https://www.gartner.com/smarterwithgartner/is-the-cloud-secure ) 】
データコンサルタントおよびデータアナリストの視点から、普及が拡大するクラウド環境におけるセキュリティ・インシデントとそのデータ活用の課題、そしてCNAPPが果たす役割について以下に分析します。
現在、AWS、Azure、Google Cloudなどのパブリッククラウドを利用したシステム環境の構築・運用が進んでいますが、オンプレミス環境とは異なるクラウド環境固有のセキュリティ課題が発生しやすくなっています。米国IT調査会社のガートナーが実施したセキュリティリスクに関するデータ調査結果を踏まえ、「2025年までにクラウドセキュリティ・インシデントの99%は顧客の過失によるものになる」と予測しています(※)。この予測は、顧客の過失、すなわち「機密情報へのアクセス権限設定データ」「構成ミスデータ」「ポリシー違反データ」「コンプライアンス違反データ」といった形でシステム上に残るデータポイントが、インシデントの主要な原因となる可能性が高いことを示しており、これらのデータ分析と管理がセキュリティ対策において極めて重要であることを浮き彫りにしています。
様々な種類のセキュリティ製品・サービスが登場し、クラウドセキュリティの異なる側面をカバーし相互に補完していますが、各ツールから多種多様なログや膨大なアラートデータが通知される結果、データフォーマットの不均一性、データ統合の困難さ、分析基盤のサイロ化といったデータ管理上の課題が生じています。また、システムが複雑化するほど、エージェントベースのツールではエージェントのインストールや管理が難しくなり、データ収集のカバレッジが限定されることもあり、組織全体のシステム環境をデータとして網羅できない状況では、せっかくツールを導入しても効果的にデータ活用できているとは言えません。
そこで現在、データ統合・分析基盤として注目されているのが「Cloud Native Application Protection Platform(CNAPP)」です。CNAPPを導入することで、CSPM(構成データ)、CWPP(ワークロードデータ)、CIEM(ID・権限データ)といった異なるドメインのセキュリティ関連データを統一的に収集・統合し、クラウド資産全体のセキュリティリスクをデータとして一括管理できるようになります。これは、データサイロを解消し、クラウド環境全体のリスクをデータとして俯瞰するための重要なステップです。
CNAPPサービスであるOrca Securityは、エージェントレスでの導入が可能であり、独自技術「SideScanning」によって既存システムに影響を与えずに、リスク分析に必要な構成情報やデータ(スナップショットなど)を効率的かつ網羅的に収集します。これは、従来のデータ収集における課題(カバレッジ不足、運用負荷)を解決するデータ収集技術の進化と言えます。さらに、生成AI技術の活用は、収集された膨大なセキュリティ関連データの分析やアラートデータのノイズ削減、リスク評価、対応策の提案といった運用プロセスをデータに基づき効率化することを支援します。実際の運用イメージを掴んでいただけるデモを通して、CNAPPが収集・分析したクラウド資産全体のセキュリティリスクデータをどのように一括管理・可視化し、運用担当者がデータに基づいた運用(リスクの特定、優先順位付け、対応策の確認)を効率的に行える様子を確認できます。
クラウドセキュリティ施策を検討されている方や現場でのセキュリティ対応におけるデータ活用の課題に直面している担当者にとって、CNAPPが提供するデータ統合・分析機能は、将来のマルチクラウド化に向けたセキュリティ強化の方法論や、現状のクラウドセキュリティ対策がデータに基づき十分であるかの判断、そしてCNAPP自体がどのようなデータ活用の仕組みであるかを理解する上で有用な情報を提供します。
※:引用元【Gartner「Is the Cloud Secure?」 (https://www.gartner.com/smarterwithgartner/is-the-cloud-secure ) 】
CNAPPソリューション:データセキュリティにおける包括的な可視性と検知・対応能力
CNAPP (Cloud-Native Application Protection Platform) ソリューションは、現代のクラウド環境におけるデータセキュリティとデータ保護の課題に対処するために設計されています。これらのソリューションは、以下のような主要なデータ関連機能を提供します。
100%の可視性: 異なるソース(エンドポイント、クラウドワークロード、アイデンティティ、データストアなど)からのセキュリティ関連データを一元的に収集・統合し、システム全体のデータセキュリティ状態をデータに基づいて包括的に可視化する能力。複数のセキュリティツールやUIを切り替えることなく、セキュリティ関連データを単一のコンソールで分析できる点が重要です。
完全な検知および対応機能: 収集したセキュリティイベントデータやデータアクセスログなどの多様なデータを高度に分析し、潜在的な脅威や脆弱性を超高精度に検知し、対応する能力。
世界クラスのグローバルインテリジェンス: 実績のあるグローバルな脅威インテリジェンス(攻撃手法、既知の脆弱性に関するデータ)や攻撃者に関するデータを活用し、セキュリティ分析を強化し、未知の脅威に対する検出能力を高める能力。
業界トップクラスの自動化機能: 検知、対応、修復といったセキュリティプロセスを自動化し、セキュリティ関連データに基づいた迅速かつ効率的なアクションを可能にする能力。
CNAPPソリューション評価のためのデータ関連チェックリスト
CNAPPソリューションを評価する際には、データコンサルタント/アナリストの視点から、以下のデータ関連評価ポイントを確認することが重要です。
ソリューションは、複数のポイントツールから生成されるデータを統合し、すぐに使用できるデータに基づいたセキュリティ上の洞察を提供しているか。異なるコンソールやUIを切り替えることなく、セキュリティ関連データを一元的に分析できるか。
プラットフォームは、エンドポイントからクラウドまで、多様な環境からのセキュリティ関連データを収集し、データに基づいた統一された可視性とセキュリティカバレッジを提供しているか。
プラットフォームは、クラウドネイティブなエージェントとエージェントレスセキュリティの機能を組み合わせ、多様なソースからのセキュリティ関連データを効率的かつスケーラブルに収集できるか。
ソリューションは、保護されていないデータリソース(例:公開設定されているデータストレージ)を自動的に検出して視覚化し、関連するセキュリティ関連データを収集するための体制(エージェント展開など)を容易に構築できるようにしているか。
プラットフォームは、収集したデータに基づいて、検知、対応、修復といったセキュリティプロセスを自動化できるか。
プラットフォームは、実績のあるグローバルな脅威インテリジェンス(攻撃手法、TTP – Tactics, Techniques, Proceduresに関するデータ)や攻撃者に関するデータを統合しているか。リスクと特定の**セキュリティイベントデータ(TTPとの関連)**を自動的に関連付けて、データに基づいた迅速な対応を促進しているか。
プロバイダーは、データセキュリティプログラム全体の一部としてCNAPPを位置づけ、信頼できるグローバルクラウドおよびセキュリティのイノベーター/リーダーによって提供されているか。
ソリューションは、データ収集、分析、レポートに関連するライセンス構造がシンプルになっているか。
プラットフォームは、複雑なセキュリティ運用の側面(データ収集、データ分析、セキュリティ応答)を、スマートかつ迅速に実行できるよう合理化しているか。コンプライアンス遵守(データ監査証跡の管理など)を容易にしているか。
ソリューションには、世界クラスのマネージドサービスやプロフェッショナルサービスが、ソリューションから得られるデータに基づいた洞察を活用し、セキュリティ運用を支援する体制が整っているか。
CrowdStrike Falcon®プラットフォームについて
CrowdStrikeは、サイバーセキュリティのグローバルリーダーであり、エンドポイント、クラウドワークロード、アイデンティティ、そしてデータを含む、企業リスクを考える上で重要な領域を保護する世界最先端のクラウドネイティブプラットフォームにより、現代のデータセキュリティを再定義しています。
CrowdStrike Falcon®プラットフォームは、CrowdStrike Security CloudおよびワールドクラスのAIを搭載し、リアルタイムの攻撃指標、脅威インテリジェンス、進化する攻撃者の戦術、そして企業全体からの充実したテレメトリ(システムアクティビティに関する詳細なデータ)といった膨大なセキュリティ関連データを活用して機能を提供しています。これにより、超高精度の検知(データ分析による異常検知)、自動化された保護と修復(セキュリティ関連データに基づいた対応)、精鋭による脅威ハンティング(データ分析による潜在的脅威の探索)、そして優先付けられた脆弱性の可観測性(脆弱性に関するデータとリスクの関連付け)を実現します。
Falconプラットフォームは、軽量なシングルエージェントアーキテクチャを備え、クラウド上に構築されていることが、迅速かつスケーラブルなデータ収集と展開を可能にする基盤となっています。これにより、優れたデータ保護とパフォーマンスを提供し、セキュリティ運用の複雑さを低減し、データに基づいたセキュリティ価値を即座に実現します。