従来の SIEM は、扱いにくく管理が難しい、しかも期待に応えられないツールとして悪評を得てきました。Illuminate でのプレゼンテーションで私は、ログ分析を全体的にモダナイズするための Sumo Logic の取り組みについてご説明しました。
現在私たちが目にしているように、テクノロジ全体の進化は加速している一方、セキュリティは常に遅れをとっています。Sumo Logic ではこの問題に真っ向から取り組んでいます。
私たちが直面している課題をよく理解できるよう、ここでは 3 つの分野に分けて、クラウドと最新テクノロジに特有のセキュリティ要件を満たすために Sumo が行っていると取り組みをご説明します。
データの問題
私たちが今目撃しているようなデータの爆発的増加を予測できた人は、誰もいないでしょう。テクノロジがビジネスや生活に入り込むようになっている中、データの量がまさに爆発しています。
「データが生成されるペースはデータの分析能力を遥かに超えています。こうした膨大なデータ ストリームを、負担から強みに変えることが大切です。」
Patrick Wolfe 教授
エグゼクティブ ディレクター、ロンドン大学ビッグデータ研究所
私たちは今、データ収集のいわゆる「収穫逓減の法則」に直面しています。つまり、データを収集すればするほど費用がかさみ、データから価値を得るのが難しくなるという意味です。
Sumo Logic がデータの問題に対処する方法
Sumo Logic では価値駆動型アプローチをとることで、クラウドを活用しながらビジネス上の費用に見合う成果を保てます。
そのための方法は次の 2 つです。
- データの民主化
皆様が費用をかけて導入するデータ ストアを必ず機能横断型にします。つまり、さまざまなシステム所有者とステークホルダーの全員が簡単にデータにアクセスできるようにします。データから情報を引き出す利用者が増えれば増えるほど、データの価値が高くなります。 - 革新的な料金モデル
すべてのデータは必ずしも同等ではありません。したがって皆様はコンプライアンス ログ、セキュリティ ログ、運用ログと同じ料金をデバッグ ログに対して支払うべきではないと当社は考えています。データの保管方法を柔軟に選択できるようにしています。たとえば、データの種類ごとにクレジットを使うことも、まったく異なる価格の別の方法でデータを保管することもできます。
クラウドならではの規模の経済から当社は利益を得ており、皆様にもそれを還元すべきだと考えています。CapEx から OpEx モデルに移行して、データの運用を効率化することが目標です。
アラートの問題
セキュリティ担当者は、手に負えないほど大量のアラートを処理しなければならず、その多くは「偽陽性」です。多くの場合、これらのアラートにはビジネス コンテキストもリスク コンテキストもありません。正当なアラートであっても、そのセキュリティ イベントの潜在的な影響を理解するにはアナリストにかなりの負担がかかります。しかもスタックがモダナイズされるにつれて、アラートの数が増え続けます。
Sumo Logic がアラートの問題に対処する方法
最新型の SIEM は、皆様のアプリケーションとインフラストラクチャがクラウド、コンテナ、マイクロサービスにモダナイズされるペースに遅れずについて行く必要があります。少なくとも、主要なあらゆるクラウド サービス プロバイダをサポートする機能が必要です。これに加えて、各プラットフォーム内で多数のサービスや機能を利用するための機能をすぐに使えることが理想的です。
もう 1 つの点として、そのソリューションは、クラウド ソリューション以外では得られないグローバル インテリジェンスを活用できるか - これも重要です。世界中の何千ものお客様に関するアラートを扱う Sumo Logic は、皆様のセキュリティ体制が他の企業と比べてどんな状態にあるかについてインサイトを提供します。検出されているのは希少な脅威でしょうか。当社と CrowdStrike 社との提携により、ユーザは脅威インテリジェンスを追加料金なしですぐに利用できます。
とはいえ、膨大なアラートによる疲弊は依然として大問題であり、ほとんどのアナリストは燃え尽き症候群を経験したことがあります。こうした深刻な問題について、前 NSA 副理事である Bill Crowell 氏は次のように適切に言い表しています。
「サイバー防御とは、攻撃を防ぐための一連のツールを統合/連動させることですが、現在の業界ではこうしたツールが散在しており、統合された大きな防御力にはなっていません。」
相関付けおよびアラートに対するアプローチを徹底的に見直す必要があると Sumo Logic では認識しています。アラートとインサイトには極めて高い忠実度が求められますが、Sumo Logic はそれを提供します。
Sumo Logic Cloud SIEM Enterprise プラットフォームを通して、アラートの自動削減、高忠実度のインサイト、調査のためのコンテキストが提供されます。その仕組みを説明しましょう。
エンティティ中心の考え方
実世界のエンティティがユーザであってもシステムであっても、SIEM にはエンティティレベルでアラートを集約できるインテリジェンスが備わっていなければなりません。エンティティレベルでアラートが集約されると、アナリストがアラートを開いたときに個々のイベントが表示されるのではなく、その特定のエンティティで何が起きているかを大局的に確認できます。
段階的 MITRE 攻撃におけるシグナルのオーバーレイ
MITRE 攻撃ライフサイクルに関する業界標準フレームワークに従い、各シグナルが攻撃のどの段階にあたるかを重ね合わせて表示します。アナリストがこれらのシグナルを見れば、クエリして調査しなくても瞬時に攻撃の状態を把握できます。
攻撃者の滞留時間に関する情報提供
攻撃者の滞留時間の情報も提供されます。アナリストは数週間前を振り返ることができ、システムに関連するすべてのセキュリティ イベントを Cloud SIEM Enterprise でひと目で確認できます。
Sumo Logic Cloud SIEM Enterprise プラットフォームの簡単なご紹介をご覧いただけます。ぜひ完全なデモをご覧ください。
人的な問題
現在、セキュリティ分野でもテクノロジ分野全般でもスキルが顕著に不足しています。モニタリング対象のアセットが高度化するにつれて、この問題は深刻化するばかりです。Tier 1 のアナリスト (トリアージのスペシャリスト) には、多くの新しい知識と専門技能からなる総合的なスキルセットが求められます。市場に流通している、エンタープライズ環境をモニタリングしたり保護したりするツールも複雑さを増しています。
Sumo Logic の調査によると「SecOps チームの 75% が、毎日出されるアラートに対処するためだけに 3 人以上のアナリストを雇用する必要がある」と答えています。
当社は、すでに述べたアプローチがこの問題の解決に貢献してくれると考えています。データを民主化し、誰もが同じデータ ストアで高忠実度のアラートとインサイトを確認できるようにすれば、さまざまなチームのすべてのメンバーが同じデータを使って価値を引き出せるので、分析能力が何倍も増すはずです。Sumo Logic が提供するのは、単なる別のツールではありません。チームがトリアージして対処するには時間が足りなくなるほど大量のアラートを送り込むわけでもありません。
Sumo Logic は設立当初から、従来のログ アナリティクスと SIEM を SaaS およびクラウド コンピューティングの世界に移すことをミッションとしています。今では、ほぼすべての主要な SIEM ベンダーとログ アナリティクス プラットフォームが、将来的にログ管理に対応していく鍵は SaaS とクラウド コンピューティングだと認識しています。
Complete visibility for DevSecOps
Reduce downtime and move from reactive to proactive monitoring.
