本ブログ記事は、2022年4月29日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
従来よりも明らかに有利な方法があれば、それを採用するのが人間の常というものです。一方で、当初は明らかでなかったトレードオフの必要性をあとから発見することも、必然的なものです。自動車の例を挙げれば、それを馬に代わって選んだことで個人の移動に革命が起きましたが、環境からエネルギー分野までのすべてに対する影響もありました。最近で言えば、固定電話からスマートフォンに移行したことで、人々が入手する情報が膨大な量となり、ここでもトレードオフが発生しています。変化を選択するならトレードオフを受け入れる必要があるように、クラウドに依存するサイバーセキュリティソリューションを検討中の組織は、それに関連するリスクを理解する必要があります。
2 種類のクラウド依存型セキュリティ
この記事では便宜上、一般的な2 つのクラウド依存型サイバーセキュリティのアプローチについて説明します。最初の例として、マルウェアのシグネチャ(およびその他の識別可能な脅威データ)をクラウドに保存して、それを各エンドポイントに配信するソリューションについて説明します。もう 1 つの例は、エンドポイントから脅威データを収集して、それをクラウドで解析するソリューションです。
クラウドから脅威情報を送り込む
1 つ目のクラウド依存型アプローチでは、エンドポイントを常時クラウドに接続して、エンドポイントの脅威情報が最新のマルウェア指標で更新されるようにしておく必要があります。クラウドが脅威データの集中型配信システムとなり、エンドポイントが常に最新のウイルス、RAT (リモートアクセス型トロイの木馬)、ワームを認識しているようにします。この手法の従来手法に対する利点は、IT スタッフが手動で更新を開始したり、エンドユーザーにシステムを最新に保つよう求めたりする必要がない点です。しかし、どんなイノベーションでもそうですが、クラウド依存型セキュリティへの移行には、すぐには明らかにならない一定のトレードオフを伴います。
この手法の採用による大きな変化は、組織のエンドポイントが新しい脅威からの保護に関してクラウドに完全に依存するようになることです。理想的な状況では、すべてのコンピューター、タブレット、保護されたデバイスがクラウド接続を維持し、更新を取りこぼすことはありません。しかし実際には、さまざまな理由から定期的な更新やクラウドの接続ができない技術を採用している場合が多くあります。
時々使用されるだけで、デバイスに更新が配信されるときに電源が入っていないものもあります。更新中に問題が発生して、技術的な問題が対処されるまで、最新の脅威情報を統合できないエンドポイントがある可能性もあります。コアミッションに必要なソフトウェアに影響があるため、特定の更新を適用できないデバイスもあるでしょう。その上、ゼロデイ攻撃が始まったときに、プロバイダがクラウドの脅威指標を更新するのに時間がかかる場合もあります。その間、クラウドに依存するエンドポイントは、この新しい脅威に対して脆弱なままです。
クラウドに脅威情報を取り込む
クラウド依存型セキュリティのもう 1 つのアプローチは、エンドポイントから脅威情報をクラウドに送り込んで解析させることです。この方法では、エンドポイントは、自身のリソースを使って脅威データを処理しなければならないという負担から解放されます。また組織としては、クラウドベンダーがビッグデータを使ってサイバー脅威を発見という安心感を得られるかもしれません。しかし、このアプローチにもセキュリティに関するトレードオフがあります。
たとえば、クラウドプロバイダに脅威データの処理を許可すると、組織が所有するデータが安全なネットワークの外に送られます。これは、ベンダーが収集したすべてのデータを第三者が管理するクラウドリソースに委ねるということです。クラウドの誤設定によるセキュリティ侵害により、合計で約5 兆ドル(米ドル)の被害が発生していることを考えれば、非常にやっかいな問題になりかねません。英国政府はデータ管理の問題から、情報を国外に移動するセキュリティプロバイダの利用を一部の機関に対して制限しています。いったんデータが組織の外に出ると、完全な管理はできなくなり、それによって規制やセキュリティに関する問題が発生する可能性があります。
クラウド依存型セキュリティの 1 つ目の方法と同じように、2 つ目の方法でも、エンドポイントを安全に保つために継続的な接続が必要となります。クラウドに接続していないエンドポイントや情報のアップロードに問題があるエンドポイントの脅威情報は、処理の対象となりません。
クラウド活用型サイバーセキュリティの優位点
クラウド依存型セキュリティの問題を認識している革新的なベンダーは、クラウドを活用する別の方法を編み出しています。非常に有望な方法として、AI (人工知能)セキュリティエージェントをエンドポイントに直接デプロイして、継続的な保護を提供するという方法があります。クラウドは、エンタープライズセキュリティの管理、更新の提供、環境の全体像の提供に使用されます。クラウド活用型セキュリティの場合、すべての保護されたデバイスは、接続を失った場合でもサイバー脅威から防御できます。実際、AI 駆動型サイバーセキュリティを使用するエンドポイントは、インターネットへの接続もクラウドへの接続もない隔絶した環境でも保護されている状態を維持します。
継続的な保護が可能なのは、安全なファイルと悪意のあるファイルを確実に区別できるようになるまで、AI モデルが何十億ものファイルの特徴を学習するためです。AI が高度なパターン認識により脅威を検知するため、他にコンテキストやシグネチャがなくても、あらゆるファイルの安全性を予測することができます。研究者が正式に特定するはるか前に悪意のあるファイルを検知する AI の能力は、Predictive Advantage(予測優位性)と呼ばれています。予測優位性を理解するために、ゼロデイのマルウェアが今朝公表され、2 年前の AI モデルによって解析される場合を考えましょう。この古い AI がマルウェアを危険だと識別できれば、そのモデルは 2 年の予測優位性スコアを持っていると言われます。つまり、2 年前にサイバーセキュリティ AI エージェントをインストールし、それを一度もアップデートしなかったユーザーが、今日現れたゼロデイ脅威から保護されていたということです。
多くのゼロデイマルウェア攻撃は、シグネチャベースの検知を欺くために既知の脅威をわずかに修正したものを元にしています。一般にこうした変更は高度な AI の検知を回避できるほど有意なものではありません。実際、AI の能力はファイルベースの攻撃の能力をはるかに凌駕しています。AI をトレーニングして悪意のあるファイルを識別するという手法は、ネットワークトラフィック、ユーザーアクセス、リソース使用、その他のエンタープライズデータにも適用できます。クラウドを利用して AI 活用型サイバーセキュリティプラットフォームを管理することで、接続性に左右されずに各エンドポイントを保護しながら、環境を強固に管理することができます。
AI 駆動型エンドポイントを使用するクラウド活用型セキュリティにより、クラウドに依存することから発生する欠点の多くを回避しながら、いくつかの利点を得ることができます。クラウドから最新の AI モデルをエンドポイントに送り込むことができ、更新ができなくても新しい脅威に対して無防備にはなりません。エンドポイントがローカルの AI モデルで脅威を検知した場合は、その結果をより大規模なクラウドインフラでダブルチェックします。こうして、デバイスは脅威解析のセカンドオピニオンとしてクラウドを利用する高速でシンプルな手段を手に入れます。また、クラウドは各エンドポイントから関連する脅威データを集約し、ネットワーク脅威を監視して、エンタープライズセキュリティの管理という複雑なタスクを簡素化することができます。
BlackBerry のソリューションであるCylancePROTECT®とCylanceOPTICS®は、AI 活用型サイバーセキュリティエージェントを直接エンドポイントに配置してサイバーリスクから保護するだけでなく、アラート疲れを低減します。そうすることで、各エンドポイントが、関連データを収集しながら脅威を検知してそれに対応している限り、ミニ SOC (セキュリティオペレーションセンター)の役目を果たすことになります。これらのエンドポイントがクラウドに接続すると、個々の脅威テレメトリが集約され、アナリストが攻撃に対する深い洞察を得られるようになります。環境全体で脅威データの相関を評価して攻撃の全体像を描くため、アナリストに無数のアラートがばらばらに届くことはなくなります。
クラウド活用型サイバーセキュリティと AI が貴社のセキュリティ態勢をどのように向上させるかの詳細については、BlackBerry.com をご覧ください。
・お問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
・イベント/セミナー情報:https://www.blackberry.com/ja/jp/events/jp-events-tradeshows
・サイバーセキュリティチームによるコンサルティング: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
・BlackBerry Japan:https://www.blackberry.com/ja/jp
