• クラウドでは、従来の境界は急速に消滅します。誰が何にアクセスできるかを把握することが、最初の最も重要なレイヤーとなります。
• 可視性はエンドポイントまで拡張する必要があります。可視性がなければ、実際にセキュリティを確保することはできないからです。
• 脅威の検出と対応のスピードが DiD プログラムの成否を左右しますが、防御が持続するかどうかは回復力によって決まります。

一つの危険な思い込みが、巨大企業でさえも破滅に追い込む可能性があります。それは、資産と業務を守るには単一のセキュリティ対策で十分だ、というものです。この考えに「強く反対」する方（できればこの記事を読んでいる皆さん）にとって、多層防御（DiD）はまさにうってつけのフレームワークです。DiDは、ファイアウォールなどの基本的な防御ツールを凌駕し、多層防御を構築します。つまり、ある層が機能不全に陥っても、別の層が備えているのです。

これは、単にどんどん厚着を重ねていくかのように防御を重ねるために多くの製品をチェックすることではありません。私たちが話しているのは、適切なレイヤーについてであり、単にレイヤーを増やすことではありません。多くのセキュリティチームが、検出製品を大量に導入してそれで終わりにしています。しかし、検出しても対応しなければ、機会を逃すことになります。あるいは、もっと悪いことに、将来のニュースの見出しになるかもしれません。

ほぼあらゆる業界で、このような状況が見受けられます。検知対策は警報を発するものの、封じ込めが遅れ、攻撃者に横展開や戦術変更の機会を与えてしまうのです。企業は業務の中断、データ漏洩、そして痛ましい経済的損失に見舞われます。問題は警報を見逃したこと自体ではなく、検知だけで十分だと思い込んでいることにあります。

だからこそ、対応は後回しにしてはいけません。SANSウェビナーの前回のエピソード「多層防御：サイバー防御を強化する多層防御」では、検知と対応の制御がなぜ必要なのか、そしてその戦略とはどのようなものかを明確に説明しました。ここでは、維持できる防御と、攻撃の圧力に耐えきれず崩壊する防御を隔てるソリューションとは一体何なのか、見ていきましょう。

クラウドの厳しい現実

まず、多くの防御のみの戦略が最初に失敗する点から見ていきましょう。クラウドでは、従来の境界が消え去り、過剰な権限を持つアカウント、不十分なログ記録、不適切な設定などが、リスク、混乱、そしてコストのかかる盲点を生み出します。悪意のある攻撃者は、特に嵐に紛れて、あらゆる機会を逃さず利用しようと躍起になります。

アイデンティティ自体が境界となる場合、業務のセキュリティを確保するには、次の点を考慮する必要があります。

• 誰が何にアクセスでき、その理由は何か?
• ログは信頼性が高く、集中管理されていますか?
• SaaS および API のリスクを可視化していますか?
• クラウド プロバイダーがカバーする範囲と、あなたが所有する範囲はどの程度ですか?

多要素認証（MFA）、CASB、ZTNAといった階層化された制御は、クラウドへのアクセスをロックダウンする鍵となります。しかし、最も重要な資産と、それらに誰がアクセスしているかを明確に把握できなければ、特にセキュリティ保護されていないエンドポイントを通じて、攻撃者に悪用される隙が生まれてしまうリスクがあります。

エンドポイント保護はDiDがパーソナル化する領域です

ユーザーとそのデバイスは、多くの場合、最もリスクの高い資産です。かつては、エンドポイントの保護は比較的簡単でした。ほとんどのユーザーは1つのエンドポイントしか持っていませんでした（ああ、古き良き時代）。しかし今はどうでしょうか？BYODやモバイルファーストの環境によって、日々新たな脆弱性が生じ、ハイブリッドワークの可視性はこれまで以上に困難になっています。

従業員をオフィスに呼び戻す前に、次の質問を自問してみてください。

• エンドポイントはモバイル デバイス管理 (MDM) に登録されていますか?
• あなたのポリシーでは個人データと職業上のデータを分離していますか?
• 危険なアプリや古いソフトウェアをブロックしていますか?

可視性は制御を取り戻し維持するための最初の重要なステップですが、動き続ける脅威を追跡して分離する一貫したポリシーがなければ、見たものに対して軍事的対応がとれない、空に浮かぶ燃える目に過ぎません。

リスクを阻止し、エンドポイントの保持を延長するには:

• すべての企業アクセスに対してモバイル デバイス管理 (MDM) 登録を強制します。
• アプリケーション制御ツールを使用して、信頼できないソフトウェアをブロックし、攻撃対象領域を減らします。
• SOC チーム (および将来の自分自身) が評価する追加の保証として、MFA を必須にします。

とはいえ、脅威を検知し理解するだけでは戦いの半分にしか過ぎません。脅威を迅速に阻止できるようにする必要があります。

スピードは封じ込めと崩壊の境界線となる

侵入を完全に防ぐ環境などありません。一度深く構築すれば 可視性、検知力、封じ込め力を強化します。今日のサイバー空間では、スピードこそが全てです。

検出制御

これらのコントロールは警報システムのようなものだと考えてください。侵入者を阻止することはできないかもしれませんが、取り返しのつかない被害をもたらす前に捕まえるのに役立ちます。

• ロギングとSIEM（オンプレミス＋クラウド） - 環境全体のデータを一元管理し、相関分析することで、攻撃パターン、認証失敗、疑わしいラテラルムーブメント(横方向の感染拡大)を発見できます。これは、リスクチームが迅速かつ確実に行動するために必要な情報です。
• IDS -ネットワークのモーションセンサーのように、既知の攻撃パターンを捕捉します。レスポンスシステムと組み合わせることで、攻撃者が侵入する前に自動ブロックと封じ込めを実行できます。
• データ損失防止（DLP） - 機密データの移動（送信先、送信者、送信方法）を監視します。DLPは、検出と対応の両方の制御機能として、データの保護とコンプライアンスを維持します。
• セキュアWebゲートウェイ（SWG ） - トラフィックをスキャンして悪意のあるアクティビティを検出し、ユーザーの安全を確保し、ネットワークをマルウェアから守ります。最新のSWGは、暗号化されたトラフィックとダウンロードをリアルタイムで検査し、アクティビティを記録してSIEMに送信し、重大なセキュリティギャップを解消します。
• 侵入テスト- 攻撃者が攻撃を試みる前に、防御策を積極的に検証しましょう。このウェビナーのホストであるTed Demopoulosは、少なくとも四半期ごとにテストを実施し、その結果をサイバーキルチェーンにマッピングして、レイヤーの弱点を正確に特定することを推奨しています。

レスポンシブコントロール

さて、これらは脅威を阻止するための封じ込めツールです。もしこれらのツールが連携不足だったり、遅いと、復旧は困難になり、コストも高くなります（周りの人に聞いてみてください）。

• インシデント対応プレイブック- 事態が悪化する前に、役割、エスカレーションパス、コミュニケーションフローを事前に定義します。これらのプレイブックを机上演習で検証することで、プレッシャーのかかる状況でも確実に機能し、チームのパニックを回避できます。
• エンドポイント検出・対応（EDR）ツール- 侵害を受けたデバイスを検出・隔離し、横方向の感染拡大を防止します。EDRは、侵害を発生させず、封じ込められたインシデントへと転換します（この響き、素敵ですよね？）。
• セキュリティオーケストレーション、自動化、対応（SOAR）プラットフォーム- ユーザーの無効化、IPブロック、アラートのエスカレーションといった煩雑な作業を自動化します。自動化がなければ、チームは大量のアラートに溺れてしまいますが、自動化があれば、より迅速かつスマートに行動できるようになります。

DiDは検知だけで終わってはなりません。攻撃を阻止するためには、迅速な制御に投資し、戦略を策定する必要があります。迅速かつ効果的な封じ込めこそが、侵害を一瞬にして消える無意味なものに変えるからです。

完璧さではなく、回復力を重視して構築する

DiDにおいては、重複と冗長性は意図的かつ有益です。これらは、事態が悪化した際に防御を維持する上で不可欠です。最も強力なプログラムは、理想的な状況だけでなく、ビジネスの実際の優先事項に基づいて、予防、検知、そして対応のバランスを取ります。

SymantecとCarbon Blackの統合ポートフォリオは、 Symantec DLP 、 Symantec Endpoint Security 、 Carbon Black App ControlなどDiDプラン全体にわたる統合保護を提供します。業界をリードする当社のソリューションは、シームレスに階層化され、摩擦を軽減するように構築されており、ビジネスの成長に合わせて拡張できる十分な余裕があります。

さらに詳しく知りたいですか？ウェビナー「多層防御：サイバー防御を強化する多層防御」をご覧になり、Ted Demopoulos と私による目から鱗が落ちるようなセッションのホワイトペーパーをダウンロードしてください。このセッションで、強力な防御を構築するための意欲が湧き、万全の準備が整うでしょう。