先進的な企業は既に着手している
セキュリティー変革の「3つの方向性」

　ここ数年猛威を振るっているランサムウエア攻撃は、様々な企業や組織に対して甚大な被害をもたらしている。パロアルトネットワークスの染谷 征良氏は、次のように具体的なデータを紹介する。

　「当社には、脅威分析とお客様のセキュリティー支援を行う『UNIT 42』という専門家組織があります。その調査によれば、ランサムウエアに情報を盗み取られてダークWeb上に機密情報を暴露された事案は、昨年1年間だけで約4000件に上っています。2021年の約2500件に対して大幅に増加しており、その方法も、暗号化だけでなく情報窃取による多重恐喝が主流な中で、海外では、経営層に直接連絡して『監督当局や報道機関に知らせるぞ』と脅す手口も登場しています」

　脅迫を受けた際に大きな問題になるのが、身代金支払いの是非だろう。同社の調査によれば、身代金支払い後に約束が守られたケースは68％であり、32％は約束が守られていない。身代金を支払ったところで、データが正常化する保証はないのだ。実際に国内企業へのアンケート調査でも、8割近くは「支払うべきではない」と回答。しかしそのうちの半数近くは「支払うべきではないがその状況になってみないと分からない」と回答しており、対応の難しさが浮き彫りになっている。

　ここで注目したいのが、個人情報や重要インフラの世界ではサイバーセキュリティーに関して大きく3つのトレンドが起きていることだ。第1は、サイバーセキュリティーが義務化される中で、脅威を特定して防御するだけではなく、できるだけ早く異常を検出して対応・復旧させることが重視されるようになっていること。第2は、インシデントの迅速な報告・通知が義務付けられるようになっていることだ。「日本でも3～5日以内の報告が義務化されていますが、海外の個人情報保護に関する法規制では、72時間以内の報告を義務付けるというのが1つのトレンドになっています」と染谷氏は指摘する。

　そして第3が、セキュリティー対策の不備や報告の遅れ・不十分な情報量に対して、徹底的に罰していこうという動きが進んでいることである。実際にEU圏内や米国、オーストラリア、一部のアジア地域では、過去にさかのぼってでも高額な罰金を課せられるケースが増えているという。

　さらに染谷氏は、攻撃の入口と攻撃完了までの時間も大きく変化していると述べる。

　まず攻撃の入口は、以前はなりすましメールが起点になることがほとんどだったが、2023年は71％が外部に露出されたデジタル資産の脆弱性や設定ミスが悪用されている。侵入から情報窃取までの時間も、2021年は平均9日だったが、2023年にはわずか2日になっており、そのうち45％は24時間以内に情報の抜き取りを完了。今後は生成AIが悪用されることで、スピードがさらに上がると見られる。

　これに対して防御側の対応時間は、長期化する傾向にある。攻撃を検出するまでの平均時間は13日間。攻撃スピードに対して11日のギャップがある。そして検出してから対応完了までの平均時間も6日かかっており、合計平均19日となっているのだ。

　「サイバー攻撃の被害に遭った際には、被害や影響範囲の特定、身代金支払いの判断や迅速かつ適切な報告、復旧作業など、同時並行的に様々な対応をしなければなりません。そのため、インシデントが発生した際の対応方針と体制を組織としてあらかじめ整備しておくとともに、被害を未遂に終わらせるための対策が重要になります」と染谷氏は説明する。

　ただしこれまでのセキュリティー環境では、その実現は難しい。機能やデータがばらばらなツールやサービスを導入し続けた結果、セキュリティー環境が「個別最適」の状態に陥っているからだ。そのままでは一貫性のあるポリシーで守ることは難しく、データや運用がばらばらであるため脅威検出の時間も長引いてしまう。そしてツール間の機能重複が増えていくことで過剰投資になってしまい、運用の負荷やコストも増えてしまう。

　「最近は著名な国内企業が大規模な被害を受けたことで、経営層・上層部の危機意識が向上し、セキュリティー予算の増加を検討する企業が増えています。その中には『活用するセキュリティー製品・サービスの削減によるプラットフォーム化』を検討している企業や、『セキュリティー運用・監視業務の内製化が必要と認識』している企業が多くなっています。そしてその効率化や高度化に向けて、AI活用や自動化を検討しているケースも増加。これら3つの方向性は、ユーザー企業側で発想の転換が進んでいることを示していると言えるでしょう」（染谷氏）

　このようなニーズに対応しているのが、パロアルトネットワークスだ。「当社では、『必要なセキュリティー機能を1つの統合し、プラットフォームとして提供する』というアプローチを製品戦略の柱にしています。新たな脅威が発生した際には、新たなツールを個別に提供するのではなく、その機能をプラットフォームに組み込むアプローチをとっています。そしてその中で、徹底的にAIを活用することで脅威発見のスピードを上げるとともに、自動化・自律化も積極的に進めることで対応のスピードも高めています」と染谷氏は語る（図1）。 　まずネットワークセキュリティーに関しては「Prisma SASE」によって1つのアーキテクチャーに統合。ユーザー／デバイスの場所やアクセスするリソースに関係なく、共通ポリシーでアクセス制御できるようにしている。

　クラウドセキュリティーに関しては、ハイブリッドクラウドのセキュリティーを統合できる「Prisma Cloud」を提供。「まずはクラウドベンダーが提供するセキュリティー機能を利用し、不足する部分は他ベンダー製品で補う」といった方法から脱却することで、ハイブリッドクラウド化で煩雑になったクラウドセキュリティーをシンプルにしている。

　そしてセキュリティー運用では「Cortex XSIAM」が重要な役割を果たす（図2）。 　「Cortex XSIAMでは、アナリティクスやインシデント対応の自動化、アタックサーフェスマネジメントといった機能を1つに統合しています。ここに様々なソースのデータをまとめることで、それらをAIが分析し、脅威をリアルタイムに止めることが可能になるのです。また『自動化ファースト』を基本にした運用によって、対応のスピードも飛躍的に高められます」と染谷氏は語る。

　実際にこれらのプラットフォームによって、先進的な取り組みを進めている企業も増えているという。実効性の高いセキュリティーを実現したいと考えている企業に大きな力となってくれそうだ。