データコンサルタントおよびデータアナリストの視点から、Microsoft 365のようなクラウドサービスにおけるデータ保護の責任範囲と、関連するデータ管理の課題について以下に分析します。
Microsoft 365はMicrosoft社によってインフラストラクチャレベルで強固なセキュリティ対策が施されていますが、ユーザー企業側が適切なデータ管理対策を講じなければ、論理的なデータ消失や情報漏洩のリスクを完全に排除することはできません。Microsoft 365の利用規約には、「ユーザー責任範囲」という概念があり、これはサービスプロバイダーとユーザー企業間におけるデータ管理・保護の責任分界点を明確にしたものです。多くの組織が誤解しているのは、Microsoft 365を利用していれば、データ保護の責任がすべてMicrosoft社にあるという点です。しかし実際には、アクセス管理(認証ログ、アクセスログ)、データの保持期間設定(データライフサイクル管理ポリシー)、デバイスのセキュリティ対策といった、ユーザー責任範囲に該当する部分については、ユーザー企業側でこれらのデータポイントに関する適切な管理と対策を講じる必要があります。
例えば、従業員が誤って重要な顧客データを削除してしまった場合や、サイバー攻撃によって社内メールがすべて暗号化された場合、これはMicrosoft 365上の業務データに対する論理的な損失リスクとなります。Microsoft社はインフラの可用性には責任を負いますが、このような論理的なデータ損失からの回復責任は基本的にユーザー企業側にあります。これらのリスクを回避し、重要なビジネスデータを守り抜くためには、ユーザー責任範囲をデータ管理の観点から正しく理解し、それに応じたデータ回復戦略を講じることが重要です。
このような状況下で、企業はMicrosoft 365上のデータをどのように保護すべきでしょうか。これは、Microsoft 365が生成・保持するメールデータ、ファイルデータ、SharePoint/Teamsデータといった多様な種類の業務データに対して、その重要性に応じたデータ保護レベルを適用するというデータ管理の課題です。Acronis Cyber Protectのようなソリューションを活用したMicrosoft 365の包括的なデータ保護アプローチは、こうしたデータ回復ニーズに応えるものです。ライセンスに付属するアクロニス クラウドストレージを利用した、クラウドからクラウドへの直接バックアップ(データ収集・保存ポリシーの定義)、高度な暗号化(データ保護における機密性の確保)、多要素認証(MFA)サポート(データアクセス管理における認証データの強化)など、Acronis Cyber Protectが提供する先進的な機能は、ユーザー責任範囲におけるデータ保護(可用性と機密性)を強化します。
現在の企業IT環境は、クラウド技術の進化によって、オンプレミスからクラウドへのシステム移行やマルチクラウド/ハイブリッドクラウド環境の構築・運用が広く普及し、Microsoft 365やGoogle Workspaceなどクラウドサービスの業務利用が拡大しています。この結果、IT管理者は従来のオンプレミスにあるサーバーやネットワーク機器のデータだけでなく、AWSやMicrosoft AzureといったIaaS/PaaS上のデータ、そしてクラウド上の業務アプリケーションが生成するデータを含めた、非常に広範かつ多様な管理対象データに直面しており、全体的なデータ管理の複雑性が増しています。
このような複雑なデータ環境下で、企業は様々な種類のセキュリティ製品・サービスを運用してセキュリティ強化を図っていますが、これが多層的なセキュリティ対策が生成するログデータ管理の課題を招いています。それぞれのセキュリティ機器・サービスから様々な種類のログデータが大量に生成されるため、これらのデータを統合的に分析・管理する体制が整っていない場合、重要なインシデントの予兆といったデータポイントを見落としてしまう可能性があります。
Acronis Cyber Protectのようなソリューションは、Microsoft 365データのバックアップ設定(データ収集・保存ポリシー定義)から復元(データ回復プロセス実行)までの一連の流れを示すデモンストレーションを通じて、Microsoft 365上のデータを確実に保護するための具体的なデータ管理プロセスを可視化します。これにより、Microsoft 365のデータ保護に関する正しいデータ管理の知識を身につけ、自社の重要な業務データを確実に守るための具体的な方策を学ぶことができます。
データコンサルタントおよびデータアナリストの視点から、マルチクラウド環境におけるセキュリティリスクと、データに基づいた対応策について以下に分析します。
クラウド固有のセキュリティ課題に加え、複数のクラウドプロバイダー環境を併用するマルチクラウドでは、それぞれ異なるフォーマットで生成されるログや構成情報、脆弱性スキャン結果といったセキュリティ関連データの多様性が、自社環境に潜む脆弱性データ(特定の構成ミス、パッチ未適用など)を統合的に検知することを困難にしています。限られた運用人員でこれらの膨大なセキュリティ関連データを効率的に分析・管理するためには、データ収集、統合、分析プロセスを自動化・効率化し、データフォーマットや収集プロセスを標準化することがデータ処理上の喫緊の課題となっています。
長年にわたりSOC事業を展開してきた組織は、豊富なセキュリティイベントデータ収集、分析、インシデント対応の経験に基づいて、多様な脅威データパターンに関する深いデータ分析の知見を有しています。複雑化するマルチクラウド環境のセキュリティ運用におけるデータ課題に対し、その解決の第一歩として提言されるのが、「Microsoft 365やGoogle Workspaceといったクラウドサービスに加え、AWS環境、ネットワーク機器、サーバ、業務PCなど、多様なソースからのログデータを統合的に収集・管理し、データ分析によって可視化すること」です。LogStareのようなSOC事業者が提供する統合管理ソリューションは、これらの異なるデータソースからのセキュリティ関連データを一元化し、統合的なデータ分析を可能にすることで、セキュリティ posture の全体像把握、インシデント発生時の迅速なデータ分析、相関分析による脅威特定といったデータ活用の基盤を提供し、IT管理者のデータ分析負荷を軽減します。デモでは、同ソリューションが多様なソースからのデータをどのように統合・可視化し、運用管理に役立つデータ分析結果(ダッシュボード、アラートなど)を提供するのか、そのデータ活用方法を確認できます。
市場や顧客のニーズの変化に迅速に対応し、データ駆動型の意思決定によって自社の競争優位性を確保するため、クラウド活用は企業のビジネス展開に不可欠なデータ基盤となっています。クラウド基盤は、AIやビッグデータ解析、IoTといった高度なデータ活用技術との親和性が高く、ビジネスの成長や変動に応じてデータ処理リソースを柔軟に調整できるスケーラビリティを提供します。単なる技術導入に留まらず、データ戦略の中核として位置付けられるようになったクラウド環境では、マルチクラウド/ハイブリッドクラウド環境の構築・運用が広く行われています。こうした状況において、クラウド環境で生成されるセキュリティ関連データの量と重要性が高まっており、データに基づいたセキュリティ対策の必要性も増大しています。
従来のオンプレミス環境とは異なる、クラウド独自のセキュリティ課題には、特定のデータ特性が関連しています。例えば、複数のクラウドプロバイダーやオンプレミス環境を組み合わせるマルチクラウド/ハイブリッド環境では、各環境の構成データ、アクセスデータ、利用状況データといったポリシー遵守状況に関するデータを統合的に収集・分析し、データに基づいたセキュリティポリシーの一貫性を保つことがデータガバナンス上の課題となります。また、外部公開資産に関するデータ(公開設定データ、脆弱性スキャン結果データ)を収集・分析したり、ネットワーク機器・APIに関するデータ(APIログデータ、脆弱性情報)を悪用する攻撃手法が存在するため、これらのデータ収集と分析がセキュリティ対策において重要です。
将来のマルチクラウド化を見据えたセキュリティ戦略において、データに基づいた強化方法を検討することは不可欠です。現状のクラウドセキュリティ対策が、収集・分析できているデータに基づいて客観的に十分であるか判断するためにも、統合的なデータ収集・分析基盤の構築は重要です。
データコンサルタントおよびデータアナリストの視点から、Salesforceのようなクラウドサービスにおけるデータ保護の責任範囲と、関連するデータ管理の課題について以下に分析します。
一般的にクラウドサービスの契約には、サービスプロバイダーとユーザー企業間におけるデータ管理・保護の責任の分界点を取り決めた「責任共有モデル」が存在します。Salesforceサービスにおいても同様に、Salesforce社はサービスプロバイダーとして、システムとアプリケーションのセキュリティ(システムアクセス時の認証データ管理、定義されたルール・権限・役割に関するデータ適用など)の維持管理に責任を負います。
しかしながら、Salesforce環境にアップロードされたファイルやリンクといったコンテンツデータをマルウェアや悪意のあるURLといった脅威データから保護することは、利用ユーザー側のデータ管理責任範囲であることに注意が必要です。アップロードを実行したのが社内スタッフ、外部パートナー、顧客のいずれであっても、コンテンツデータに関するすべてのセキュリティ管理責任はユーザー企業に生じます。この点に関して、「クラウドサービスを安全に保護することは、サービスプロバイダー側の責任であり、利用者である自分たちがやるべきことではないのでは?」といったデータ責任範囲に関する誤解を持つ組織も見られます。
また、Salesforceを含むクラウドサービスに対するセキュリティ対策においては、従来のシステムセキュリティに重点を置いた対策が不十分となるデータ特性に注意が必要です。適切に構成されたファイアウォールやネットワークセキュリティシステムは、主にネットワーク境界を通過するデータを防御しますが、Salesforceのようなクラウドサービスへのアクセスはインターネット経由で直接行われるため、これらの境界防御を迂回するデータフローとなります。
例えば、従業員や外部パートナーが個人所有のスマートフォンやノートPCなどのデバイスを使用してSalesforceサービスに直接ログインする場合、これらのデバイス上のセキュリティ対策状況は均一ではありません。包括的な最新のセキュリティシステムが実行されていないデバイスから「Sales Cloud」や「Chatter」といったSalesforce環境にアクセスすると、悪意のあるリンクや感染したファイルといった脅威データが意図せず持ち込まれ、共有される可能性があります。これは、デバイスからクラウド環境へのデータ伝播経路におけるセキュリティリスクデータとなります。
このようにしてSalesforce上にアップロード・共有された脅威データが、他のユーザーによるダウンロードやアクセスを通じてネットワークを介して伝播し、最終的には組織の内部システムへの損傷またはデータ漏洩につながるデータリスク経路となり得ます。「Experience Cloud」を通じてパートナーや顧客が感染したファイルをダウンロードするケースも同様に、システム、デバイス、データの侵害につながり、法制的な罰則や風評被害、経済的な影響といったデータ侵害の二次的コストをもたらす可能性があります。
それでは、利用企業の観点でSalesforce環境におけるコンテンツデータを確実に保護するためにはどうすればよいのでしょうか。その課題解決策として、「WithSecure™ Cloud Protection for Salesforce」のようなソリューションが提供されています。Salesforce社と共同で開発されたこのソリューションは、Salesforce環境にアップロード・ダウンロードされるファイルやURLに関するデータをリアルタイムでスキャン・分析し、マルウェアや悪意のあるリンクといった脅威データを検出・ブロックするデータ分析・保護機能を提供します。これにより、Salesforceプラットフォームの使用を妨げることなく、アップロードまたはダウンロードされるコンテンツデータ(ファイル、リンク、Eメール)によってもたらされるセキュリティのリスクをデータ分析に基づき軽減することが可能です。
Salesforceのセキュリティリスクや、データを安全に使うためのベストプラクティスは、過去のインシデントデータ分析やリスク評価データに基づいて導き出されるものです。専門家による事例を交えた解説は、これらのデータ分析に基づいた知見の共有として有用です。(補足として、Experience Cloud、Service Cloudにおけるユーザー権限管理はCIEM(Cloud Infrastructure Entitlement Management)の領域と関連するデータ管理であり、Salesforce環境における過剰な権限付与といったリスクデータはCIEM機能によって分析・特定されるべきデータとして位置づけられます。)
データコンサルタントおよびデータアナリストの視点から、Salesforceのような主要SaaSプラットフォームにおけるデータ管理とセキュリティについて以下に分析します。
数あるSaaSの中でも高いシェアを誇るSalesforceは、多くの企業にとってITへの大規模な投資を行うことなくセールス機能を強化できる実証済みのサービスであり、クラウドサービス導入の最初のステップとなっています。このことは、多くの組織がSalesforce上でビジネスに不可欠な業務データを生成・保持しており、これらのデータの保護がビジネス継続性にとって極めて重要であることを意味します。
一般的にクラウドサービスの契約には、サービスプロバイダーとユーザー企業間におけるデータ管理・保護に関する責任の分界点を取り決めた「責任共有モデル」が存在します。Salesforceサービスにおいても同様に、Salesforce社はサービスプロバイダーとして、システムとアプリケーションのセキュリティ、例えばシステムアクセス時の認証データ管理や、定義されたルール・権限・役割に関するデータ適用といった面を維持管理する責任を負います。
しかしながら、Salesforce環境にアップロードされたファイルやリンクといったコンテンツデータをマルウェアや悪意のあるURLといった脅威データから保護することは、利用ユーザー側のデータ管理責任範囲であることに注意が必要です。アップロードを実行したのが社内スタッフ、外部パートナー、顧客のいずれであっても、コンテンツデータに関するすべてのセキュリティ管理責任はユーザー企業に生じます。この点に関して、「クラウドサービスを安全に保護することは、サービスプロバイダー側の責任であり、利用者である自分たちがやるべきことではないのでは?」といったデータ責任範囲に関する誤解を持つ組織も見られますが、これは責任共有モデルにおけるユーザー側のデータガバナンス責任の理解不足に起因します。
また、Salesforceを含むクラウドサービスに対するセキュリティ対策においては、従来のシステムセキュリティに重点を置いた対策が不十分となるデータ特性に注意しなければなりません。適切に構成されたファイアウォールやネットワークセキュリティシステムは、主にネットワーク機器が生成するトラフィックデータやログデータに基づいて防御を行いますが、Salesforceのようなクラウドサービスへのアクセスはインターネット経由で直接行われるため、これらの従来のデータソースからは十分に監視・分析できない新しいデータ特性を持つデータフローとなります。
例えば、従業員や外部パートナーが個人所有のスマートフォンやノートPCなどのデバイスを使用してSalesforceサービスに直接ログインする場合、これらのデバイス上のセキュリティ対策状況は均一ではありません。包括的な最新のセキュリティシステムが実行されていないデバイスから「Sales Cloud」や「Chatter」といったSalesforce環境にアクセスすると、悪意のあるリンクや感染したファイルといった脅威データが意図せず持ち込まれ、共有される可能性があります。これは、デバイスからクラウド環境へのデータ伝播経路におけるセキュリティリスクデータとなります。これらのデバイスは、IT部門の管理が行き届かないデータソースとなる可能性がある点も考慮が必要です。
このようにしてSalesforce上にアップロード・共有された脅威データが、他のユーザーによるダウンロードやアクセスを通じてネットワークを介して伝播し、最終的には組織の内部システムへの損傷またはデータ漏洩につながるデータリスク経路となり得ます。特に「Experience Cloud」など外部とのデータ共有機能は、管理対象外のユーザーへのデータ伝播リスクを高めます。パートナーや顧客が感染したファイルをダウンロードするケースも同様に、システム、デバイス、データの侵害につながり、データ侵害の二次的コスト(法制的な罰則、風評被害、経済的な影響など)をもたらす可能性があります。
これらのデータリスクを踏まえ、利用企業の観点でSalesforce環境にアップロード・保存されるデータを確実に保護するための対策が不可欠となります。これは、Salesforce上のコンテンツデータに対する適切なデータ管理、脅威スキャン、アクセス制御といったデータガバナンス活動をユーザー企業自身で行う必要があることを意味します。
データコンサルタントおよびデータアナリストの視点から、クラウドサービスにおけるデータ保護とセキュリティ管理の課題、そしてデータに基づいた解決策について解説します。
前回の議論に続き、Salesforceのような主要SaaSプラットフォームにおけるデータ保護においては、責任共有モデルに基づきユーザー企業側がコンテンツデータの管理・保護責任を負うことが明確です。この課題解決策として、「WithSecure™ Cloud Protection for Salesforce」のようなソリューションが提供されています。これは、Salesforce環境にアップロードまたはダウンロードされるファイル、リンク、Eメールといったコンテンツデータに関するデータをリアルタイムで収集し、マルウェアや悪意のあるリンクといった脅威データを検出するために、シグネチャベース分析、挙動分析、レピュテーションデータ参照といったデータ分析を行うことで、リスクを軽減するデータ分析・保護機能を持つソリューションです。Salesforce社と共同で開発されたこのソリューションは、Salesforce環境のデータ構造やAPIに最適化されたデータ処理が可能であることを示唆しています。Salesforceのセキュリティリスクや安全な利用のためのベストプラクティスは、過去のインシデントデータ、脆弱性データ、構成データ、アクセスログデータなどの分析に基づいて導き出されるものであり、専門家による解説はこれらのデータ分析に基づいた知見の共有として有用です。
昨今、多くの企業・組織がパブリッククラウドをシステム基盤として利用するようになり、クラウド環境で生成されるセキュリティ関連データと、それに伴うセキュリティに対する懸念が高まっています。その中で、クラウド環境のセキュリティ管理において重要な役割を果たしているのが「Prisma Cloud」のような統合管理ツールです。Prisma Cloudは、クラウド環境(マルチクラウド含む)から、構成データ(CSPM)、ワークロードデータ(CWPP)、ID・権限データ(CIEM)といった広範なセキュリティ関連データを収集・統合するデータプラットフォームとしての機能を有しています。
しかし、Prisma Cloudを導入しても、設定や運用の課題に直面し、収集したデータを十分に活用できないケースが少なくありません。Prisma Cloudを使用している多くの企業では、生成される膨大なアラートがデータノイズとなり、運用担当者のデータ分析負荷を著しく増大させている現状があります。これにより、すべてのアラートデータに対処しきれず、未解決アラートが山積するという、データ分析プロセスのボトルネックと重要なデータポイントの見落としを示唆する課題が生じています。さらに、運用スキルやノウハウの不足は、アラートデータからの重要なリスクの識別、データに基づいたアラートの優先順位付け、そして効果的な対処(データに基づいた修復策の実行)を困難にしている、データ分析能力に関する課題と言えます。
「アラート対応が滞り、未解決アラートが山積みしている」というデータ分析上の課題を打破するためには、なぜアラート対応が進まないのか、その原因をデータ分析に基づいて特定し、どのようにPrisma Cloudを有効活用し、運用をデータ駆動型に整理できるかを考えることが重要です。複数の企業におけるアラートデータ、運用ログ、対応状況データなどを分析した事例に基づいて、運用改善のための具体的な手法(データ収集設定の見直し、アラート生成ルールの最適化、アラートデータの分類・優先順位付け手法など)と、それらがもたらすデータによる効果(アラート数削減、対応時間短縮など)を示す成功事例が解説されることがあります。
SCSKが提供する「Prisma Cloud運用診断サービス」のように、対象組織のPrisma Cloud運用状況に関するデータ(設定、アラート、対応ログなど)を収集・分析し、運用課題の原因をデータに基づいて特定し、運用最適化に向けたデータに基づいた具体的な改善策(データ収集設定の変更、アラートチューニング、運用プロセスの改善など)を提案・支援するサービスを活用することも、データ駆動型の運用改善を実現する上で有効な手段です。未解決アラートを効率的に解決したい、Prisma Cloudの導入効果をデータでさらに高めたい、自社の運用課題を具体的にデータに基づいて解決する方法を知りたいと考える担当者にとって、これらのデータ分析に基づいた知見と支援は価値あるものとなるでしょう。
データコンサルタントおよびデータアナリストの視点から、CNAPPのような統合セキュリティプラットフォームが、データ統合、データ分析、そしてデータ分析に基づいた自動化によって、クラウドセキュリティ運用をどのように進化させるかについて解説します。
統合されたビューは、複数のデータソース(異なるツール、エージェント、エージェントレス収集データなど)を横断して攻撃者の振る舞いや攻撃の進行状況に関するデータを関連付け、そのデータ分析結果を単一のコンソール上で可視化するというデータ活用の利便性を提供します。これにより、手動でのデータ収集・統合・分析の負荷が軽減され、セキュリティ担当者は複数のツールコンソールを切り替えることなく、リスクの全体像をデータに基づいて迅速に把握できるようになります。例えば、クラウドストライクの統一的なアプローチは、クラウドネイティブエージェントによる継続的なデータ収集と、ソフトウェアの展開が困難な場所でのエージェントレスによるスナップショットデータ収集を組み合わせることで、クラウド資産全体に関するセキュリティ関連データの網羅性を高めます。単一のエージェント、コンソール、UIは、データ収集、管理、可視化の効率化に貢献します。また、異種のツール群をFalcon CNAPPのようなプラットフォームに統合することは、ライセンスに関連する運用オーバーヘッドだけでなく、データ収集パイプラインの複雑性も削減し、セキュリティグループが多数のアカウント、リージョン、プロジェクト、仮想ネットワークにデータに基づいたポリシーを迅速に適用することを可能にします。
CNAPPがクラウドセキュリティ運用を進化させる第4の柱は、データに基づいた自動化機能の規模に応じた構築です。CNAPPは、クラウドアプリケーションのライフサイクル全体を通じてセキュリティ検証を統合および自動化するためのCI/CDベストプラクティスをサポートします。これは、CI/CDパイプラインからのデータ(コード、コンテナイメージ、構成など)を分析し、セキュリティ検証を自動化(シフトレフト)するデータ活用のアプローチです。手作業でのセキュリティ運用やデータ分析は、アプリケーションデリバリーを遅延させ、人為的なデータ入力ミスや分析エラーの可能性を高めます。
CNAPPソリューションの一部のスタンドアロン要素は脅威に関するデータを検出しますが、検出されたデータポイントに対する修復機能が自動化されていない場合があります。自動応答機能がなければ、分析が必要なアラートが大量に発生すると、リソースが限られたセキュリティスタッフは、アラートデータからの重要なリスクの識別や、データに基づいた意思決定に遅延が生じる可能性があります。最新のクラウドセキュリティプラットフォームは、問題の存在を管理者に通知するだけでなく、弱点に対処するためのアクションをデータ分析に基づいて自動的に実行できるようにする必要があります。
Falcon Cloud Securityのようなプラットフォームは、対応と防御の自動化を通じてデータ駆動型セキュリティ運用を強化します。例えば、オンプレミス、ハイブリッド、マルチクラウドの環境全体から収集されたセキュリティ関連データを関連付け、攻撃経路分析を自動的に実行します。これは、システム内の複数のデータポイント(脆弱性データ、設定データ、権限データ、ネットワーク接続データなど)をデータ分析によって結びつけ、攻撃者が悪用する可能性のある一連のデータパスを特定する高度なデータ分析手法です。Falconは、防御側が「簡単に悪用できる」問題、つまり特定のデータパターンの検出に基づくリスクの高い問題を自動的に解決するためのルールを設定できるようにすることで、組織がクラウド規模で脅威を回避するのに役立ちます。
例えば、Falcon Cloud Securityが、攻撃を仕掛けるために攻撃者が悪用する可能性のあるコンテナの設定ミスをデータ分析によって検出した場合、同じデータ属性を持つ欠陥によるリスクがある新しいコンテナの展開を自動的にシャットダウンするように設定できます。管理者は、プラットフォームをプログラムして、CrowdStrike AIと機械学習(独自のIOC、IOA、IOMといった脅威に関するデータ分類や分析モデルのインプットを含む)に基づくポリシーをプッシュし、データに基づいた対応、脅威ハンティング、コンプライアンスを改善することも可能です。
Falconは、資産に関するセキュリティ posture データをリアルタイムで収集・分析し、保護されたホストと保護されていないホストを自動的に検出して視覚化し、データに基づいて保護が必要なホストについて通知します。管理者は、正しく構成されたエージェントベースまたはエージェントレスのカバレッジを、データ分析結果(保護が必要なホストの識別)に基づき、ワンクリックで即座に展開できます。ワンクリックでの修復テストとエージェントの展開ができるため、データ分析結果に基づいた対応を迅速に行い、運用を中断することなくアセットを保護できます。
データ収集、処理、分析、対応といったデータライフサイクル全体における自動化とツールの統合により、スピードで明らかな優位性が得られます。これは、完全な可視性(統合されたデータによる)とインテリジェンス(データ分析結果からの洞察)と連携して動作し、データ駆動型の迅速なセキュリティ対策を可能にします。
データコンサルタントおよびデータアナリストの視点から、ワールドクラスのクラウドセキュリティサービスプロバイダーが持つべきデータ分析能力と専門知識、そして彼らが提供するサービスがデータ活用をどのように支援するかについて解説します。
ワールドクラスのクラウドセキュリティサービスプロバイダーは、単なるツールの提供にとどまらず、あたかも豊富なグローバルな脅威データに関する知識と、数十年の経験に基づいたデータ分析の専門知識(脅威データモデリング、異常検知モデル、相関分析手法など)を有する高度なデータアナリストチームを組織の延長として招き入れたかのように機能する必要があります。セキュリティとクラウドイノベーションの実績があり、収集された膨大なセキュリティイベントデータを意味のある洞察へと変換する能力を持つ、狡猾なクラウド攻撃者をデータ分析によって抑え込めるCNAPPのリーダーを選定することが重要です。プラットフォームが収集・分析した潜在的な脅威データに対し、専門家サービスが介入して追加のデータ分析(根本原因分析)、対応策の策定(データに基づいた最善の修復手順)、そして将来的な防止策の提案(リスク評価データに基づいたポリシー推奨など)を行うことで、データ検出、対応、防止のサイクルを強化します。
クラウドストライクは、クラウドセキュリティおよびCNAPPのグローバルリーダーとして、業界アナリスト、パートナー、そして米国の大手銀行、航空会社、政府機関を含む世界の顧客から広く評価されており、これはそのテクノロジー(データ収集、分析基盤)とアナリスト機能(データ分析チームの専門性)が、比類のないデータ分析能力を提供していることの裏付けとなります。CloudStrikeは、あらゆる環境における顧客チームの延長として機能し、多様な環境からのセキュリティ関連データのシームレスな収集と可視化を実現し、調査(データ分析による原因究明)、インシデント対応(データに基づいた迅速なアクション)、ポリシー管理(データに基づいたポリシー定義・適用状況の評価)といったデータ分析ワークフローを効率化します。
Falconプラットフォームは、テクノロジーによる自動データ分析と人間の介入による専門的なデータ分析の最強の組み合わせにより、シームレスで統一されたソリューションとして、実証済みの脅威データ検知と対応を迅速かつ正確に実現します。自動検知機能は、自動データ分析(機械学習などによる脅威パターンの検出)によって悪意のあるアクティビティに関するデータを優先順位付けし、手動分析は、熟練したデータアナリストによる詳細なデータ調査や相関分析によって、迅速な対応とプロアクティブな脅威ハンティングに必要な追加のコンテキストデータを提供します。
クラウドストライクは、幅広い知見と豊富な熟練した人材を備えており、世界中に展開されているセンサーから収集された膨大な量のセキュリティイベントデータに基づくインサイトを、同等の規模で提供できるCNAPPプロバイダーは他にはありません。このビッグデータ分析能力と広範なデータソースからの知見の集約能力により、クラウドの成熟度向上のどの段階にある企業でも、その企業のセキュリティレベルをデータに基づき即座に改善できます。
一部のセキュリティソリューションではクラウド環境で生成される特定のデータに対応する機能が提供されていませんが、クラウドストライクは、クラウド固有のセキュリティ関連データを専門的に収集・分析し、対応するための幅広いサービスを提供しています。専門家によるプロフェッショナルサービスには、24時間365日体制でセキュリティイベントデータを継続的に監視・分析し対応を行うマネージド検知と対応(MDR)、全環境にわたるクラウドインシデント発生時のデータに基づいた原因特定と対応策実行、そして潜在的なクラウドの脅威データを能動的に探索する脅威ハンティングといった内容が含まれます。
攻撃者はクラウドにエネルギーを集中させて特定の種類のデータ分析(脆弱性スキャン結果分析、アクセスログ分析など)を行う余裕がありますが、多忙なセキュリティスタッフには、広範囲にわたるセキュリティ関連データ全体を詳細に分析するリソースが不足している現状があります。対応範囲が広すぎてクラウドのリスクをデータとして追いかけきれない社内の防御担当者の能力を拡張するために、組織は実績のあるリーダーに専門的なセキュリティサービスを依頼することで、高度なデータ分析リソースを外部から補強できます。適切なパートナーであれば、戦力を大幅に増強し、クラウドとセキュリティに関する深い専門知識(データ分析の知見を含む)を最新のCNAPPイニシアチブにもたらします。
包括的なCNAPP戦略の採用判断は、最終的には、クラウドセキュリティに投資する組織のビジネスケース、すなわちデータに基づいた運用改善効果やリスク低減効果によって異なります。複数の機能をバンドルした統合ソリューションであれば、セキュリティ関連データの収集、統合、分析、対応といったデータライフサイクル全体が効率化・高速化されることによって、最大の投資価値と運用効率が実現します。
CrowdStrike Falcon Cloud Securityの顧客が期待できる平均効果は以下のとおりです。これらの数値は、データ分析による運用改善効果を示す具体的な指標となります。
クラウドの検知と対応を74% 高速化:脅威データ検出から対応開始までの平均時間短縮。
クラウドベースのインシデントの防止と対応自動化で年間80時間を節約:データ分析に基づいた自動化や効率化による運用工数削減。
年間38万米ドル以上の運用費用削減と効率改善:データ統合、分析、自動化による運用効率向上およびインシデント対応コスト削減。
革新的なFalconプラットフォームは、エンドポイントにおけるセキュリティ関連データ検出と対応(EDR)のリーダーであり、エンドポイントデータに加えてクラウドネイティブエージェントからのデータも統合し、単一の統合プラットフォームで効率的かつ効果的なクラウドセキュリティを提供し、最適なデータ活用のための基盤を実現します。クラウドストライクは、最新のCNAPPアプローチの5つの柱すべてをデータ活用の観点からカバーしています。
データコンサルタントおよびデータアナリストの視点から、クラウドセキュリティにおけるデータ活用とトレンドについて解説します。
現在使用されている主要なクラウドセキュリティ製品群は、それぞれ異なる種類のセキュリティ関連データを収集・分析しています。例えば、WAF(Web Application Firewall)はWebアプリケーションへのトラフィックデータを分析して不正アクセスを検知し、CASB(Cloud Access Security Broker)はクラウドサービスの利用状況データやアクセスデータ、コンテンツデータを分析してシャドーITやデータ漏洩リスクを識別します。IAM(Identity and Access Management)はユーザーの認証データやアクセス権限データを管理・分析し、不正なアクセスや権限昇格の試みを検出します。CNAPP(Cloud Native Application Protection Platform)はさらにこれらの範囲を統合し、クラウド環境の構成データ、ワークロードデータ、ID・権限データなどを包括的に収集・統合して関連付け分析を行います。
ITインフラストラクチャやビジネス要件の変化に伴い、セキュリティ戦略もデータ活用を前提として進化し続けています。多様なセキュリティ製品から生成される異質なデータを統合し、データ収集・分析プロセスを簡素化する必要性から、シンプルなセキュリティ・ソリューションの必要性が明らかになっています。また、サイバー攻撃はITイノベーションと同様の高度化と高速化を遂げつつ増加しており、これは脅威データパターンの変化が速く、より洗練されたデータ分析手法(機械学習、異常検知など)が継続的に必要とされていることを示唆しており、セキュリティは組織のあらゆるレベルから引き続き注目されるデータ分析上の課題です。
ITやセキュリティ部門のリーダーは、サイバー脅威に対抗し、データ管理の複雑性を軽減し、重要なビジネス資産をデータに基づいて保護することを目指しています。クラウドサービスを利用したセキュリティ強化は、クラウドが提供するスケーラブルなデータ収集・分析基盤、およびセキュリティタスクをデータに基づいて自動化するサービスを活用することにその本質があります。クラウドと経営幹部や役員からの高まる支持に支えられて、ITやセキュリティ部門のリーダーたちは、データ駆動型のアプローチで組織全体のセキュリティを革新し、強化する新たな機会を得ています。
企業は、クラウドを活用して、進化するセキュリティ上のデータ課題に対処しています。サイバー攻撃の増加やITインフラストラクチャの複雑化に伴い、ITやセキュリティ部門のリーダーは進化し続けるセキュリティ上の問題に直面しています。マルチクラウドの導入、リモートワーク、デジタル・カスタマー・エンゲージメント、データやデバイスの増加により、セキュリティ関連データの発生源が広範かつ多様化しており、企業の攻撃対象が拡大し、コストのかかる非効率性や不要なリスクを生む可能性のあるツールを過剰に抱えることになりました。こうしたデータ管理上の問題に対処する方法を検討する中で、組織は多様なデータソースを統合し、よりシンプルで効率的にセキュリティ体制を強化する方法として、クラウドに注目しています。多くの組織にとって、クラウド・インフラストラクチャは、オンプレミスのデータセンターよりも、提供されるデータ保護サービスや監視・分析機能の点から安全なプラットフォームを提供し、システムのセキュリティタスクをデータに基づいて自動化するサービスによってサイバーセキュリティを簡素化し、リスクの軽減を支援します。このようなデータ駆動型のセキュリティアプローチへの移行傾向が見られます。
クラウド・セキュリティの最新トレンドをデータ分析の観点から見ると、以下の5つが挙げられます。
アイデンティティとアクセスの統合管理システム: 認証データ、アクセスログ、権限データなどを統合管理し、データに基づいたアクセス制御ポリシーの適用と、異常なアクセスパターンの検出を行うトレンドです。
クラウドサービスによる脅威の検出: クラウドプロバイダーやセキュリティベンダーが提供するサービスが、クラウド環境で生成されるセキュリティイベントデータを高度な分析手法(機械学習、振る舞い分析など)で検出し、脅威データとして可視化するトレンドです。
自動化によるデータ損失リスクの軽減: 設定ミス、不正アクセス、マルウェア感染といったデータ損失のリスク要因をデータ分析によって特定し、自動修復、自動ブロック、自動隔離といったデータに基づいたアクションを実行することで、データ損失リスクを低減するトレンドです。
マルチクラウド・アプローチをサポートする階層化されたセキュリティ戦略: 複数のクラウド環境からセキュリティ関連データを収集し、統合・分析可能なデータ基盤を構築し、その上にリスクレベルやデータ種類に応じた階層的なセキュリティ対策(データ分析、ポリシー適用、データ暗号化など)を展開するトレンドです。
[補足されるトレンドがあればここに追加]
Oracle Cloud Security Servicesのようなサービスは、データ収集、分析、保護といったセキュリティ機能を提供し、組織のセキュリティ戦略の一部としてデータ活用を支援するものです。
データコンサルタントおよびデータアナリストの視点から、統合アイデンティティとアクセスの管理システムがデータ活用とセキュリティにどのように貢献するかについて解説します。
「セキュリティは、Oracle Cloud 全体で数年間にわたり 重要な設計上の考慮事項とされています。セキュリティ は、基盤として組み込まれるべきものであり、お客様が セキュリティとコストとのトレードオフを強いられることは あってはなりません。」というOracle Cloudの設計思想は、データ保護やデータアクセス制御といった側面で、セキュリティがデータ基盤に不可欠な要素として位置付けられていることを示唆しています。
顧客、従業員、マシンといった組織内に存在する人間および非人間(アプリケーション、サービス、デバイス)のIDに関するデータ(アカウント情報、付与されている権限、アクセス履歴、作成・更新・削除の日時など)が、管理されずに無秩序に増加し、サイロ化しているデータ管理上の課題は「IDスプロール」として認識されています。Enterprise Strategy Groupの最近のデータ調査によると、85%のIT部門がパンデミックによってクラウドの利用が加速したと述べており、この利用範囲拡大に伴うクラウド上で利用されるアプリケーションやサービスの増加は、さらにIDデータのサイロ化を進める可能性があります。アプリやサービスにはそれぞれ独自のプロビジョニング・メカニズムやID管理システムがあるため、新たに採用することで、アクセスやガバナンスのポリシー(データアクセス制御ポリシーなど)の適用方法にデータ上の不一致を発生させかねません。組織全体のセキュリティをデータとして一元的に把握していないと、「IDスプロール」により過剰な権限付与(データアクセス権限の過多)やゴーストアカウント(未使用または退職者アカウントのデータ残留)といった形で、気付かないままリスクデータを放置するおそれがあります。
IDスプロールは、迅速なユーザープロビジョニングやデプロビジョニング(IDデータのライフサイクル管理)を困難にするとともに、一貫性のない資格付与(データポリシーの不整合)やゴーストアカウントの発生を招き、データ損失やデータ漏洩のリスクを増大させかねません。また、一貫性のないユーザー・エクスペリエンスにつながる場合もあります。Gartnerによると、侵入の最たる方法は資格情報の悪用が関与しており、これはIDデータ(認証情報、アクセスログ、異常なログイン試行データなど)のセキュリティ分析が、脅威検出においていかに重要であるかを示しています。IDスプロールに対処する戦略のない組織は、分析すべきIDデータが膨大かつ不整合であるため、資格情報悪用に関連する脅威データを効果的に検出できないリスクを高める可能性があります。
IAMは、企業がユーザーやデバイスとやり取りする際の中心的存在であり、組織のデータやアプリケーションの「フロントドア」として機能します。しかし、クラウドやオンプレミス環境におけるID主導型のポリシーの利用拡大により、IDデータの管理やエンドツーエンドのガバナンス(IDデータの適切な管理と利用)の実現が困難になっています。
組織は、拡大するITアーキテクチャのセキュリティ制御としてIDを位置づける、統合IAMのプラットフォームに注目しています。こうしたプラットフォームは、クラウドやオンプレミス環境に分散した様々なアプリケーションやサービスのIDデータを一元的に収集・統合し、単一のデータ基盤上で管理(IDデータマスター管理)することで、IDデータのサイロ化を解消し、組織全体のIDに関するデータの一貫性と可視性を向上させます。これにより、IDスプロールをデータ管理の観点から防止することを支援します。
IDスプロールを制御する統合アイデンティティのプラットフォームとして、OracleはユーザーIDをセキュリティ境界として位置付け、 조직によるゼロトラスト・セキュリティ・アプローチの追求をデータ基盤として支援する、統合されたクラウドIDソリューションを提供しています。適応型多要素認証(アクセスに関するデータをリアルタイムで分析し、リスクレベルに応じて追加の認証データを要求)、アクセス管理(IDとデータリソース間のアクセス許可に関するポリシーデータを適用・管理)、シングル・サイン・オン(複数のサービスへの認証データ入力を単一化し、認証ログデータを効率化)、IDライフサイクル管理(IDデータの適切なデータガバナンスプロセス)などのIAMソリューションと機能を活用して、人間および非人間IDに関する共通のデータ管理ユースケースに対応します。IDとシステムの統合により、リスクに対応したエンドツーエンドのユーザー認証とシングルサインオンを提供することで、ユーザーの行動データ、デバイスデータ、位置情報データといった様々なデータをリアルタイムで分析し、不正なアクセス試行をデータに基づいて検出・ブロックするセキュリティメカニズムを提供し、時間や場所、手段に依存しないアクセスを可能にします。IDとアクセス管理の統一的なアプローチをかなえる、クラウドベースのワークフローが、企業全体のIDデータのサイロを統一プラットフォームに統合することにより、IDスプロールというデータ管理課題への対処を支援します。