セキュリティインテリジェンスの基盤となる、ITアセットデータの重要性
デジタルトランスフォーメーションの進展は、あらゆるビジネス活動の基盤となり、企業の競争力を向上させました。その一方で、企業が管理すべきサーバー、アプリケーション、SaaSといったITアセット(IT資産)は爆発的に増加し、これは攻撃者側から見た攻撃対象領域(Attack Surface)の拡大と複雑化を意味します。
もはや、マルウェア対策ソフトやファイアウォールといった従来の境界型防御モデルのみで、高度化・多様化する脅威を完全に防ぐことは不可能です。インシデントの発生を前提とし、その影響を最小限に抑えるためのデータドリブンなセキュリティ運用(SOCやCSIRTなど)へのシフトが、事業継続における不可逆な流れとなっています。
インシデントレスポンスの成否を分ける「構成管理データ」の品質
セキュリティインシデントへの「検知・対応」や、脆弱性管理といった「緩和」策の精度と速度は、「自社のITアセットをどれだけ正確に、リアルタイムに把握しているか」という、信頼性の高いデータに完全に依存します。
しかし、オンプレミス、クラウド(IaaS)、SaaSが混在するハイブリッド環境が一般化する中で、ITアセットは多様な場所に散在する「データソース」と化しています。これらのデータを統合し、常に最新の構成情報を維持することは極めて困難です。正確な構成データがない状態は、インシデント発生時に影響範囲の特定や原因分析を著しく遅延させ、事業へのダメージを拡大させる直接的な要因となります。
データマネジメントの観点から見た、構成管理の構造的課題
多くの組織が直面している構成管理の問題は、データマネジメントの観点から分析すると、その構造がより明確になります。
データの陳腐化:
システム構築時の構成情報は、その後の変更作業が手動での更新に依存している場合、データの鮮度が急速に失われます。陳腐化したデータは、インシデント発生時に誤った意思決定を誘発し、対応を混乱させる原因となります。
データのサイロ化:
サーバーやクライアントPC、各種アプリケーションといった構成情報が、部門やシステムごとに分散管理されている状態は、データのサイロ化を招きます。これにより、組織全体のITアセットを横断的に可視化できず、インシデントの影響範囲を迅速かつ正確に把握することが困難になります。
これらの問題は、単なるツールや運用プロセスの課題ではなく、ITアセットデータを経営資源として捉えるデータガバナンスの欠如に起因します。セキュリティ体制を強化する上で、信頼できる構成管理データベース(CMDB)を「Single Source of Truth(信頼できる唯一の情報源)」として構築・維持する戦略の策定が急務です。
1. 分析すべき脅威データの変化:脆弱性から「漏洩ID(認証情報)」へ
従来のサイバー攻撃は、OSやアプリケーションの技術的な脆弱性(想定外の挙動)を突くものが主流でした。そのため、対策も「既知の脆弱性データ」をスキャンするアプローチが中心でした。
しかし、近年の攻撃トレンドをデータで分析すると、侵入経路が大きく変化しています。攻撃の約70%は、外部に漏洩した正規ユーザーのID情報(認証データ)を悪用し、設定不備のあるサーバーなどから「正規ユーザー」としてログインする手法が占めています。
これは、セキュリティ対策の焦点を「異常なプログラム」の検知から、「正常な認証情報を使った、異常な行動(振る舞い)」の分析へとシフトさせる必要があることを示しています。
2. 攻撃者のデータ活用と、従来の検知モデルの限界
漏洩したIDや脆弱なサーバー情報は、ダークウェブ上で「攻撃用データ」として売買されており、攻撃者はこのデータを購入することで、低コストかつ容易に侵入を実行できます。
正規ユーザーとしてログインした攻撃者の活動は、従来の「既知の攻撃パターン(シグネチャ)」と一致しないため、パターンマッチングによる検知(例:EPP)をすり抜けてしまいます。
これは、従来の対策が「静的データ(既知の脆弱性・既知のマルウェアパターン)」に依存していることの限界を示しています。リアルタイムに発生する「行動データ」を分析し、未知の脅威や正規認証の悪用を検知する仕組みが不可欠です。
3. セキュリティ対策における「データドリブン・アプローチ」の必要性
現在の脅威に対応するには、「侵入前のリスクデータ管理」と「侵入後の行動データ分析」を両輪で回す、データドリブンなアプローチが求められます。
A. 侵入前の対策:ASM(Attack Surface Management)による「資産リスクデータ」の可視化
「侵入される前の弱点管理」とは、自組織が外部に公開しているIT資産を「データ(インベントリ)」として網羅的に把握・管理することです。
ASMは、これらの資産データを自動収集し、脆弱性情報や設定不備データと突合させることで、「どの資産に、どの程度のリスクが存在するか」を定量的にスコアリングし、可視化するソリューションです。
特に近年は、サプライチェーン攻撃のリスクが増大しており、自社の資産データだけでなく、関連会社や取引先の外部公開資産データも評価対象に含め、リスク分析のスコープを拡大することが求められます。
B. 侵入後の対策:EDRによる「行動データ(テレメトリ)」の収集と分析
「侵入された後の検知・対応」では、万が一の侵入を即座に検知するため、エンドポイントから「操作ログ」や「通信ログ」といった詳細な行動データ(テレメトリ)をリアルタイムで収集するEDRが有効です。
EDRの真価は、収集した膨大なログデータを分析し、「通常の(=正常な)行動ベースライン」から逸脱する「異常な振る舞い(アノマリー)」を検出することにあります。
4. データ分析基盤(SOC/SIEM)の運用課題
EDRを導入し、膨大な行動データの収集を開始しても、それだけでは対策は完了しません。
これらのデータを24時間365日監視・分析し、インシデント(異常)を特定・対応するための「セキュリティデータ分析基盤(SOCやSIEM)」を構築・運用する必要があります。
しかし、このデータ分析基盤の運用には、以下の課題が伴います。
専門人材の不足: 膨大なログデータから真の脅威を見つけ出す、高度なスキルを持つ「セキュリティアナリスト(データアナリスト)」が慢性的に不足しています。
運用コストの増大: 収集するデータ量の増加に伴い、データ基盤の維持・運用コスト(ストレージコスト、ライセンスコスト)が増大する傾向があります。