現代のSOCは、崩壊した基盤の上に構築されている。ゼロトラストなら解決できる。

2003年、ガートナーは「IDSは死んだ」という論文として知られるようになったものを発表した。業界は、侵入検知システム（IDS）ツールの衰退に対応するため、セキュリティ情報およびイベント管理（SIEM）ツールを開発しました。  

2010年代半ばまでに、SIEMはコンプライアンスツールとして位置づけられたため、業界はエンドポイント検出・対応（EDR）を構築した。EDRではすべてをカバーしきれなくなったとき、ネットワーク検出・対応（NDR）が登場した。  

その後、拡張型検知・対応（XDR）が登場し、大きな混乱を引き起こしたが、IDSの終焉を見届けたのと同じガートナー社によって、XDRも終焉を迎えたと宣言された。  

それぞれの変化は進歩として捉えられていた。しかし、Google CloudのCISOオフィスでセキュリティアドバイザーを務めるアントン・チュヴァキン博士と、Illumioの情報セキュリティ担当副社長であるエリック・ブロック氏が、ポッドキャスト番組「The Segment」の最新エピソードで私に語ったように、ほとんどの企業環境は、検出を確実に行えるように設計されていなかったのです。  

そうした環境の上に構築されたSOCツールは、その欠陥を継承しており、それ以降に開発された新しいツールのほとんどは、その欠陥を修正するのではなく、回避策を講じている。セキュリティ責任者が根本的なアーキテクチャに対処しない限り、成果の改善を伴わないツール投資の悪循環は続くだろう。  

ゼロトラストは、アーキテクチャを回避すべき前提ではなく、解決すべき問題として捉えることで、その悪循環を断ち切ります。

応急処置経済、そしてそれがなぜこれほど儲かるのか

数十億ドルもの投資と数十年にわたる技術革新にもかかわらず、なぜ検出と対応の成果が大きく改善されていないのかをエリックに尋ねたところ、彼は業界が根本原因ではなく症状の対処に終始していることが原因だと答えた。

「現在、多くのセキュリティ関連のスタートアップ企業を見てきましたが、彼らは場当たり的な対策しか講じていません」と彼は述べた。「投資家は、応急処置に投資すれば良いことを知っています。応急処置はしばらくの間は効果を発揮しますが、いずれは効果がなくなるので、根本的な問題解決に取り組むのではなく、次の応急処置に投資すれば良いのです。」

セキュリティベンダー業界は、検出能力の段階的な向上によって発展していく。検知・対応技術の新たな波は、いずれも最終的に状況を覆す可能性を秘めている。そして、それぞれの波は、結果という観点から見ると、概して期待外れだった。

エリックは続けて、「建築的なアプローチによって、今日私たちが直面している多くの問題を解決できる方法がある」と述べた。私たちはそうするべきでしょうか？いいえ。私たちは建築上の問題を覆い隠すために応急処置的な対策をさらに講じ、それからそれらの警告にもすべて対応していくのです。」

膨大な数の警告の中から実際の脅威を見つけ出すという、「干し草の山から針を探す」ような問題は、数十年にわたるツールへの投資にもかかわらず、改善されていない。エリックは、実際の脅威が騒音全体に占める割合が、頑固にも4％から7％の間で推移していると指摘した。  

より多くのツールを導入してもその数字は変わらず、今後も変わらないだろう。なぜなら、ツールは問題の根本原因の下流にあるからだ。

CISOにとって「アーキテクチャ上の問題」とは何を意味するのか

エリックとアントンがアーキテクチャ上の問題について話すとき、彼らはほとんどのセキュリティリーダーが日々直面しているものの、めったに明示的に言及しない特定の障害モードについて説明しているのだ。

ほとんどの企業環境は、フラットなネットワーク、広範な横方向の移動権限、そして当然のこととされる明確な境界といった、暗黙の信頼を基盤として構築されてきた。フラットで過剰な権限設定がされた環境の上に検出機能を構築すると、意図的に大きくして検索を困難にした干し草の山の中から針を探すよう、 SOCに事実上要求していることになります。

権限が過剰に付与されたフラットなネットワークは、どのSOC（セキュリティオペレーションセンター）も現実的に管理できないほどの大量のアラートを生成する。横方向の移動は通常の交通の流れのように見えるが、それは建築構造がそのように設計されているためである。内部アクセスは検証されることを前提として設計されていないため、認証情報が漏洩しても検出されない。  

SOCは、環境が意図的に引き起こした混乱を片付けている。

ゼロトラストは、セキュリティオペレーションセンター（SOC）がそもそも何を検知しなければならないかという点を変革します。最小権限アクセスを徹底し、継続的に本人確認を行い、ワークロードをセグメント化して東西方向の移動には明示的な承認が必要となるようにすれば、検出ツールがカバーする必要のある攻撃対象領域を根本的に縮小できます。  

干し草の山を大きくするのをやめて、小さくし始めるのです。

エリックとアントンが会話の中で説明したアーキテクチャ上の解決策とは、アクセスと接続性がどのように機能すべきかという根本的な前提を再構築することを意味する。

AIを搭載した1990年代のSOCは、やはり1990年代のSOCである。

両者とも、AIはセキュリティ運用において真の価値を持つという点で意見が一致した。しかし、構造的に欠陥のあるSOCにAIを適用しても、同じような欠陥のある結果がより速く発生するだけだ。

アントン氏は、あまりにも多くの組織が、より根本的な再構築を避ける理由としてAIへの投資を利用していると主張した。AIの導入により、多くのセキュリティチームは、この基本的でありながら重要な業務から注意をそらされてしまっています。

SOCモデル自体が30年前のものである場合、AIは単に古いプロセスを高速化するだけであり、なぜそのプロセスがそれほど少ない信号しか生成しないのかという根本的な問題には対処しない。SOCが監視する環境は、適切な情報を確実に表示するように設計されたものではなく、信頼性の低い信号を高速に分析しても、やはり信頼性は低い。

「AIを使えば、特定の工程ははるかに速く、おそらくはるかに良くなるだろうが、サプライチェーン全体は基本的に以前と変わらない」とアントンは述べた。

ゼロトラストアーキテクチャは、サプライチェーンそのものを変革する。  

ネットワークがセグメント化され、ワークロードが明示的に許可された経路のみを介して通信できる場合、SOCがカバーすべき検出対象範囲は劇的に縮小します。  

これは、攻撃対象領域が拡大するにつれて信号対雑音比の問題が縮小するため、その環境に適用するAIが意図したとおりに機能する可能性があることを意味します。ゼロトラストは、SOCにおけるAIの有用性を高める。

すべてのSOC変革の成功事例はアーキテクチャから始まる

会話の中で、アントンは実際に悪循環を断ち切った数少ない組織について説明してくれた。  

Netflixは2018年に「SOCレス」に移行した。Googleは、エンジニアリング主導の検出モデルを採用しています。アントンは、欧州の大手銀行が組織監査部門（SOC）を根本から完全に再構築した事例についても言及した。

これらの組織が他と異なっていた点は、アーキテクチャに正面から取り組んだことだった。それは、アクセス方法、トラフィックの信頼性、そして環境の構造を再構築することを意味する。  

それは時間がかかり、費用もかかる作業だ。ほとんどの組織は代わりにツールを購入することを選択し、このサイクルが繰り返される。

行き詰まりを打開するには、組織の意志、経営陣の賛同、そして場当たり的な対応をやめて再構築に着手する意思が必要だ。また、明確なアーキテクチャ上の目標も必要となる。  

ゼロトラストは、SOCが監視する環境に適用することで、検出の根本的な経済性を変革する一連の設計原則として、その目標を提供します。

ゼロトラストは、拡大し続ける攻撃対象領域に対する唯一の解決策である。

AIは、これまでのどの技術革新よりも速いペースで攻撃対象領域を拡大しており、ほとんどのSOC（セキュリティオペレーションセンター）はそれに対応できるように設計されていない。  

AIが登場する以前から、境界の前提は既に崩れていた。その脆弱な基盤の上にAIツールを追加しても、これまでのあらゆるツール投資と同じ結果しか得られない。つまり、処理速度は速くなるものの、結果は変わらないのだ。

エリックとアントンは、2つの点について明確な見解を持っていた。検出結果の悪さを引き起こす根本的なアーキテクチャ上の問題はよく理解されているが、ほとんど対処されていない。そして、それらの問題に取り組むことを選択したチームは、明らかに良い結果を得ている。

ゼロトラストこそが、その取り組みの出発点となる。それは、アーキテクチャを固定された制約として捉えるのではなく、解決すべき核心的な問題として捉え直すものである。この考え方の転換は、組織の規模、予算、過去の負債に関係なく、すべてのセキュリティリーダーが利用できる。  

The Segment: A Zero Trust Leadership Podcast の全エピソードを聴くにはApple Podcast (アップルポッドキャスト),スポティファイ、 または当社のウェブサイト.