私たちはかなりの期間にわたり、サービスとしてのソフトウェア(SaaS)モデルに携わってきました。現在では、インフラ全体およびプラットフォーム全体に対する同様のスキーム(IaaSおよびPaaS)の提供に関与することが増えつつあります。これは世界中の組織にとって良い傾向であると、私たちは考えています。ターンキーソリューションを使用することで、本来の業務に集中できるようになるためです。しかし、エンタープライズ級の企業に対し、完全に統合された保護をSaaSモデルの範疇で提供することは可能でしょうか?
「ターンキー保護」に対する当社の理解
この問いに答えるには、まず「完全に統合された保護」の意味を定義しなければなりません。大企業について話しているのであれば、この意味するところは「脅威への対応の全段階におけるインフラ保護」となります。
- インシデント予防の段階では、エンドポイント上でエンドポイントソリューションを使用する。
- 脅威検知の段階では、お客様側のセキュリティソリューションからセキュリティオペレーションセンター(SOC)へと流れるデータを監視し、解析する。
- 脅威探索の段階では、新たな脅威に関する仮説を検証し、新たな脅威の痕跡(IoC)と攻撃の痕跡(IoA)の履歴データを過去にさかのぼって精査する。
- 脅威検証の段階では、検知された不審なイベントが本当に脅威なのか、正当な行動(誤検知)なのかをSOCチームが判断する。
- インシデント対応の段階では、一連の攻撃を再現し、問題修正のための推奨事項を提供する。
エンドポイント保護プラットフォーム(EPP)およびエンドポイントにおける検知および対応(EDR)のソリューションは、第1段階を自動モードで担当します。それ以降の段階はすべて、SOCエキスパートの関与が不可欠です。しかし、社内にSOCを置く余裕のある企業ばかりではありません。
SOCを持たない企業の場合
社内にSOCを持つことは、総合的な保護の必要条件ではありません。実際に、大企業の大多数はSOCを持っていません。Gartner Peer Insightsから大まかな数字を割り出してみると、 エンドポイント保護系ソリューションに対するレビューの総数と、EDR系プラットフォーム(SOCの存在を前提とする)に対するレビューの数の比較から、SOCを有するのは約20%と考えられます(リンク先はいずれも英語)。
残りの80%はどうしているのでしょう?大半の企業にとって合理的な選択肢となるのは、セキュリティ機能を委託することです。マネージドセキュリティサービスプロバイダー(Managed Security Service Provider:MSSP)または実質的にMSPPの機能を代行するセキュリティソリューションベンダー(当社が該当)は、脅威ハンティング、脅威の評価および確認、インシデントへの対応という専門的な仕事を引き受けることが可能です。
このアプローチにおいては、通常のEDRよりもかなり幅広い機能を持ったソリューションがお客様へ提供されます。その中には、ネットワークトラフィック異常の分析による脅威検知(Network Detection and Response:NDR)、そして、エキスパートによるインシデント情報解析のオプション(Managed Detection and Response:MDR)が含まれます。当社SOCの独自性は、エキスパートが世界中のインシデントや新たな脅威に関する情報へすぐにアクセス可能である点、また、このような情報に基づいてお客様の益となる手段を講じることが可能であるところにあります。また、脅威の検知および対応の各種プロセス(EDR + NDR = XDR)はかなりの部分がすでに自動化されていますが、私たちはこの分野の改善に継続的に取り組み、今後さらに強化を進める計画です。
当社のアプローチの有効性は、ATT&CK評価テストによって検証済みです。この手法が持つ特異性から、MITRE ATT&CK評価テストの第2ラウンドでは、評価対象が当社ソリューションの検知機能のみに絞られました。当社のエキスパートが強みとするインシデント対応、予防、脅威ハンティングについては、意図的に除外されています。
当社のEDRソリューションは、社内SOCと外部委託のSOCの両方に対する信頼性および適合性も証明されています。前述したGartner Peer Insightsでは、Kaspersky Anti Targeted Attack Platformが上位3位内にランクインし、エンドポイントにおける検知および対応の部門でCustomers’ Choiceに選出されました(リンク先は英語)。お忙しい中でレビューを残してくださったお客様に多大なる感謝を申し上げます。
情報セキュリティの将来は、間違いなくSaaS、すなわちサービスとしてのセキュリティにあると私は考えています。ただし、選択したツールの自動化の程度を選ぶことができ、また、ターンキーソリューションを機能追加によって「アップグレード」することが可能である、という選択肢がお客様にあることが前提です。