孫子の兵法に「彼を知り己を知れば百戦殆からず」という格言がある。戦に際して敵情を知ることはもちろん、自らの戦力や状況を把握しておくことの大切さを説いているわけだが、セキュリティーガバナンスを実践する上では、このうち「己を知る」という考え方を根底に持つことが特に重要になる。コントロールできない攻撃者について知るよりも、むしろ、統制下にある組織について知ることが効果的・効率的な結果につながることも多い。

例えば、自衛隊ではまず指揮下部隊の掌握が重要と教えられる。しかしながら、組織が大きくなるほど、組織（人・物・情報・システムなど）の状況について知ることは難しくなる。例えば、組織内のPCが何台あるのかを把握することは、簡単ではないだろう。まして、それらのPCにインストールされている全てのソフトを把握し、適切なバージョン管理を行うことはさらに難しい。

「最近の事例でも、Javaアプリケーションで頻繁に使用されるAPI『Log4J』の脆弱性について、自組織が影響を受けるのかどうかを適時に判断できなかった組織は少なくありませんでした」と話すのは、Splunk Services Japanの仲間 力氏だ。

また「己を知る」という観点からさらにいえば、内部不正対策として職員の心情把握、操作ミス防止としては職員のスキル把握、機密情報の管理状況の把握なども重要だ。把握すべき量と質は多岐にわたり、判断がつかないものも多いことから、「己を知る」ことは重要でありながら簡単ではない。

「その点、ここ数年のテクノロジーの進展がより適時・適切な状況把握を可能にしました。組織のガバナンス向上に技術面から貢献できると考えています」と仲間氏は言う。

今やサイバーセキュリティーは国防上の必須事項になっている。国際情勢の悪化に伴い、国家レベルもしくはそれに近い犯罪集団によるサイバー攻撃に適切に対応することが強く求められている。サイバー攻撃の高度化・悪質化が加速する中では、国家同士が連携して問題に対処する必要がある。さもなければ、脆弱な国がサイバー攻撃者の狙い目となって、そこからリスクが波及してしまう可能性があるだろう。

まずはこのような国際的なニーズや敵の動きを正しく理解するとともに、それにどこまで対処できるのか、己の状況を客観的に把握しておくことが不可欠だ。

これについて日本政府は「政府機関などのサイバーセキュリティー対策のための統一基準群」を更新。政府調達にかかわるすべての企業に対する要求事項として、「ログ情報をソフトウエアなどにより集計し、時系列で表示し、報告書を生成するなどの作業の自動化機能」および「リアルタイムでのログの調査・分析を行うための機能」を盛り込んだ。

「日本はこれまで、システムの監視は義務化されておらず、各組織の自主性に任せる傾向が強かったのですが、国家安全保障戦略における常時評価・随時是正、また政府統一基準における監視機能が明記されたことで潮目が変わりました。政府から始まり、業種業態を問わずあらゆる企業・組織のサイバーセキュリティー対策において、システムの『リアルタイム監視』を実現するための仕組みづくりが重要になっています」と仲間氏は述べる。

具体的に、どのような仕組みを整える必要があるのか。

前提になるのは、システムの健全性確保やサイバー攻撃の検知・対処に必要なログ情報を漏れなく集約し、一元的に管理・可視化できるようにすることだ。これは決して簡単なことではない。なぜなら、現在の企業・組織のシステムの多くはオンプレミスと複数のクラウドを組み合わせたハイブリッド環境に分散しており、ログの収集・可視化の仕組みもそれぞれ個別に存在しているからだ。

このように複雑化したシステムから人手でログを集めて、一元的かつリアルタイムに監視することは人的リソースが不足して不可能に近い。仮にログを集めることができたとしても、各システムが日々発報する大量のログに埋もれて、重大なリスクを見逃してしまうことにもなるだろう。

そこで注目されているのがSplunkソリューションである（図）。「オンプレミスとクラウド、あるいはインフラとアプリケーションといった多種多様なシステムのログを常時収集・蓄積し、ダッシュボードなどに可視化することで、システム全体を網羅的に把握できます。この際、部門間の有機的な連携を促進するため、システム運用チーム、セキュリティー監視チーム、事業担当者、マネージャー、経営陣など役割に応じたダッシュボードやレポートを実装して、今起こっている状況を正確に把握・対処・報告できるようにします」（仲間氏）。

図　Splunkソリューションの全体イメージ

オンプレミスからクラウドまで分散するシステムを統合的かつリアルタイムに監視して、ダッシュボードに可視化する。AIと機械学習ベースの高度な自動化機能も備える

大きな組織が全体を把握するために導入したセキュリティーアーキテクチャーの代表例としては、米国DHS（国土安全保障省）の主導のもとで行われているCDM（継続的診断・緩和）プログラムがある。CDMプログラムの目的は、ますます高度化・複雑化していくサイバー脅威に対応する技術の近代化にある。SplunkソリューションはこのCDMにおいても重要な役割を担っており、次の3つのステップでこれを支援している。

ステップ1は「アセット管理」。米政府の省庁内に存在する全てのハードウエア、ソフトウエア、ネットワーク機器などを統合的に可視化し、許可外の運用が行われているものを検知するとともに、必要に応じてパッチ更新や隔離を実施する。全省庁的に多種多様なハードウエア、ソフトウエアが存在するが、Splunkソリューションはあらゆるハードウエア、ソフトウエアのログを収集・分析できる。さらにそのための手法や設定に関するテンプレートを用意することで、簡単かつ確実にアセット管理が行えるよう支援しているという。

ステップ2は「システムを使う人間をセキュアにする」ことだ。各自に与えられている権限が適切であるか、その内容が正確にシステムに反映されているか、必要な教育がなされているかといった観点で確認する。「そしてステップ3が『どう使われているかの監視』です。セキュアなシステムが、セキュアなユーザーによって正しく使われているかどうか。これを監視するため、あらゆるログ情報を取得して可視化します。人・物・動作・情報を網羅的に監視することでガバナンス違反も検知でき、ガバナンスの徹底に貢献します」と仲間氏は説明する。

「Splunkでは、システムの監視やセキュリティーガバナンスの徹底状況などの把握・分析は、組織外部の専門家に頼るだけではなく、お客様企業が自ら取り組むことが不可欠だと考えています。なぜなら分析には、データと結びつく業務のプロセスやプロシージャに関する知識・経験が重要であり、データの意味を最もよく知っているのは、ほかならぬお客様自身だからです」と仲間氏は話す。

さらに、AIの利活用が進む半面、AI利活用の原則や規制が必要ではないかという声もある。この点については、AIをはじめとするテクノロジーが今後どれだけ進化しても、セキュリティーガバナンスの最終決定権を持つのは人間であるべきというのがSplunkの見解だ。同社はこの考え方を「Human-in-the-Loop（人間参加型）」と呼び、AI活用の重要な方向性として定めているという。

サイバー攻撃の兆候やセキュリティーインシデントを検知した際、無条件にITサービスを止めてしまえば多くの業務が停止し、取引先や顧客に甚大な影響を及ぼすことになるだろう。一方、ITサービスの停止に躊躇すると情報漏えいが続いたり、より重要なシステムへの侵害が拡大したりするおそれがある。セキュリティーチームは常に難しい判断を迫られることになるが、それに対する責任を持つべきは人なのだ。

「我々は、Splunkソリューションの提供を通じてそのためのお客様の取り組みを強力に支援します。お客様主導によるセキュリティーガバナンスの“可視化・自動化”、およびレジリエンス（回復力、復元力）強化に向けて、必要なテクノロジーとソリューションを提供し続けていきたいと思います」と仲間氏は最後に語った。