米国証券取引委員会 (SEC) に新たな規則 4日以内の重要インシデント開示で SOC の見直し迫る

This post is also available in: English (英語)

米国証券取引委員会 (SEC) は、新たなサイバーセキュリティ インシデント報告規則で、サイバーセキュリティを公開会社のガバナンスの中心に据えました。企業は、年次報告書で自社のサイバーセキュリティ リスク管理プロセスに関する情報だけでなく、同企業にとって「重要」なサイバーセキュリティインシデント (ないし一連のインシデント) も開示する必要があります。しかも、この開示は当該インシデントを重要と判断してから 4 日以内に行う必要があります。世界中の規制当局が企業に対し、定められた期間内にサイバー インシデントについてのさらなる報告を求めています。そのなかで、私たちが長年知っていた真実が明らかになってきました。つまり「意欲も資金力も技術力も高いサイバー攻撃者らをしのぐには、組織のセキュリティ ソリューション実装に新たなアプローチ採用が求められる」ということです。

この規則の最終決定にあたり、SECは開示や報告の慣行が上場企業ごとに異なることを観察し、より標準化されたアプローチのほうが投資家にとってつごうがよいと結論しました。残念ながら、現在大多数の企業がもつ能力を反映して標準化したアプローチでは、めざましい成果はあげられないでしょう。Unit 42 が対応したインシデントの最新の分析によれば、企業はインシデント発見から最初の封じ込めまでに平均 5.5 日を費やしています。完全な復旧・修復となれば、さらに数週間、ものによっては数か月かかることもあります。ぱっとしないこれらの数字も、多くの組織がセキュリティ ソリューション選びやその利用でつまづいていることを考えれば「さもありなん」といったところです。それらの組織はバラバラの製品を導入して個別に脅威に対応していることから、脅威情勢の全容把握も、包括的データから具体的行動を引き出す知見を得ることも、潜在的攻撃を積極的に探すこともできません。その結果、2021 年から 2022 年にかけ、野生での脆弱性のエクスプロイト数は 55% 増加しました (出典: 『2023 Unit 42ネットワーク脅威トレンド リサーチ レポート』)。

私たちはもっとうまくやれるはずですし、こうした規制の動向は、企業がそもそも「重要」なインシデントを経験する可能性を劇的に減らす最善策を検討するきっかけとなることでしょう。次世代の AI 活用型サイバーセキュリティ ソリューションは、いま私たちが直面しているサイバー脅威はもちろん、今後台頭してきそうなサイバー脅威にも対応できるように作られていますし、利用を続けるなかでセキュリティ対策の成果がスピード面・内容面ともにあがってきます。弊社の CortexⓇ XSIAM もまさにそうした次世代 AI 活用型サイバーセキュリティ ソリューションの 1 つで、その先進的機能は次にあげるようなコモンセンス (常識) のフレームワークに支えられています。このフレームワークなら、あらゆる企業がセキュリティ運用のありかたを見直せるようになるのです。

1. 統合されたベスト・オブ・ブリードのプラットフォームを採用したセキュリティ アーキテクチャは、リスクを軽減し、プロセスを簡素化し、よりよい成果をもたらします。2022 年の『What’s Next in Cyber (サイバーでは次に何が起こるだろう)』の調査では、65% を超える組織がセキュリティ ソリューションのコンソリデーション (統合) を望んでいることがわかっています。その理由は、既存のポイント ソリューション ベース アーキテクチャでは、セキュリティ オペレーション センター (SOC) が今日直面している種類の脅威をうまく緩和できていないことにあります。コンソリデーション プラットフォームは、データ ポイントからダッシュボード、ユーザー エクスペリエンスにいたる全体でインテリジェンスを共有しています。これにより、ポイント製品同士をつなぎ合わせて使うことで生じるリスクを緩和すると同時に、ゼロデイ脅威をリアルタイムに、より適切に防止できます。あらゆるサイバー スタック パーツが連携して動けば、おのずとセキュリティは向上します。複雑な計算などしなくとも、常識で考えるとわかることなのです。
2. 脅威の検出や調査で効果をあげるには、さまざまなソースからの大量のデータにアクセスする必要があります。Cortex XSIAM の場合、あらゆるソースからのテレメトリーをネイティブに統合して分析し、そこから得たインテリジェンスをつなぎ合わせて、サイバー インシデントと脅威を包括的なひとつのビューにまとめてくれます。このビューは、エンドポイントからネットワーク、クラウドにわたる、対象組織自身のセンサーが生成した重要なデータと、Unit 42 のセキュリティ研究者の専門知識とを統合し、高品質な分析の基盤を提供してくれます。
3. データの量は膨大なので、SOC は自動化してマシンスケールで分析を行わねばなりません。そうすれば SOC の有効性を決定する 2 つの重要指標、「平均検出時間 (MTTD)」と「平均対応開始時間 (MTTR)」が劇的に改善します。MTTD が秒単位、MTTR が分単位であれば、いち早くインシデントを特定してその重大性を評価するチャンスを最大化できます。これがひいてはインシデント対応によって影響を緩和するチャンスを最大化します。ところがこの MTTD が時間単位や日単位、MTTR が日単位から週間単位、場合によっては月単位でかかる、というケースも珍しくはありません。要するに、もうヒューマンスケールでやってる場合ではない、ということです。
4. 企業は、すべてのアラートやインシデントが機械的にトリアージされ、因果チェーンや深刻度・影響度が自動で判定され、そこさえ見ればひとめでサイバーセキュリティ情勢を見てとれるような、包括的ビューをもたねばなりません。企業の多くはアラートの 30 ～ 50% を評価するのがやっとです。そうした脅威環境での部分的対策は得てして何の対策にもなっていません。

XSIAM は現時点ですでに、上記フレームワークのすべての要素を備えたAI 活用型プラットフォームなので、SOC にイノベーションをもたらし、MTTD や MTTR を一足飛びに改善できます。くわえて、既知のあらゆる攻撃パターンに関する弊社のナレッジ (パロアルトネットワークスでは日々 27万5,000 件を超える新たな攻撃パターンを検出している) と、AI ベースの予測・分析を組み合わせ、未知の新たな攻撃パターンからの保護も提供できます。このほか、XSIAM には 900 を超えるサイバーセキュリティ製品との統合が事前に組み込まれており、企業は業界で最も豊富なコンテキスト認識型プレイブックを使い、ほぼリアルタイムでインシデントを修復できます。

XSIAM は驚異的な成果の改善をもたらします。これまで弊社の SOC アナリストは、1 日のほとんどをアラートのトリアージに費やしていました。この環境で各アナリストが手動で調査できたのは、1 日あたり約 13 件のインシデントでした。ところが XSIAM の導入後、同じアナリストが 1 日の 70% を脅威ハンティングと攻撃シミュレーション実行に費やすようになりました。AI と自動化でアラートに 100% 対応できるようになったおかげです。手作業によるインシデント調査は 1 日あたり 8 件にまで減りました。さらに肝心なのは、SOC の MTTD が 1 分未満、MTTR が数分に短縮されたことです。この 3 年、1 日に提示されるイベント平均数が 10 億件から 360 億件に増加していたにもかかわらずです。

これこそが XSIAM の威力です。XSIAM は、真にマシンスケールな AI を膨大なデータのリアルタイム分析に活用し、既知・未知の脅威から保護してくれるのです。この自動化ソリューションなら、組織はインシデントの重大性を容易に判断できるようになり、数日かかっていた修復期間を数時間や数分の単位へと大幅に短縮できます。

最後に、セキュリティ運用のオーバーホールにはさらなる戦略が必要です。

• プロアクティブなサイバー オフェンスを採用してよりよいオフェンスをよりよいディフェンスにつなげる: 組織は、業界をリードするサイバーセキュリティ プログラムの 基盤となる要素を必要としています。たとえば攻撃対象領域管理ソリューションはそうした要素の 1 つで、このソリューションはインターネットにグローバルに公開された資産を正確にインベントリー化してリスクの発見・軽減につなげてくれます。たとえば弊社の攻撃領域管理ソリューションである Cortex Xpanse をご利用のお客様の場合、それまでに確認していたインベントリーより平均で 35% 多く資産を発見しています。この攻撃領域管理 (Attack Surface Management: ASM)も XSIAM プラットフォームの統合モジュールです。
• ガバナンス モデルを再考する: サイバーセキュリティ リスクの管理責任は CISO や IT チームだけのものではありません。企業取締役会がそうした取り組みの中心となるべきです。取締役会に独立したセキュリティ委員会の設置を検討してください。結局のところ、効果的な計画を確実に実施して事業停止につながるサイバー リスクを軽減することは、財務リスクに対処する監査委員会の取り組みと同じくらい重要なのです。
• インシデント対応計画を臨戦態勢にしてテストする: 企業は包括的なインシデント対応計画の策定を優先せねばなりません。この対応計画には、企業全体から主たる専門家を参加させる方法や、効果的な対応・修復に向けた組織の準備態勢をテストするためのイベント シミュレーションを含めておきます。
• 専門家を招集する: CISOは専任インシデント対応者やサイバーセキュリティ専門家からなるチームの編成を優先すべきです。このチームの専門家は、いざサイバーセキュリティ インシデントが発生したさい、その組織特有の状況や規制要件を深く理解した上で、すぐに行動に移れるよう、臨戦状態にしておきます。

SEC の新しいインシデント報告規則は、「執拗で巧妙なサイバー攻撃者たちから、私たちのデジタルな生活様式を守る」という当世の中核的課題のひとつを受けてのものです。スマートな次世代型セキュリティ プラットフォームと健全な企業ガバナンス実践を組み合わせは、この課題に対処する強力な手段となることでしょう。