Continuous monitoring (CM)とは?

tball

Continuous monitoring (CM)とは、自動化ツールを使用してネットワーク、ITシステム、セキュリティインフラストラクチャを継続的にチェックし、セキュリティ上の脅威、パフォーマンスの問題、コンプライアンス違反の問題をリアルタイムで検出することです。

CMは、ソフトウェアとハードウェアのツールを組み合わせ、ネットワーク、アプリケーション、ITインフラに関するデータのリアルタイムでの収集、分析、レポート作成を自動化します。このデータは、IT環境のパフォーマンスと脆弱性に関する包括的な状況を可視化します。

CMは、強固なサイバーセキュリティプラットフォームの重要な要素であり、Security Operations(SecOps)において以下を可能にします。

  • クラウドに展開されたネットワークやアプリケーションを含む、ITインフラストラクチャ全体の健全性を確認する
  • 潜在的なセキュリティの脆弱性を特定する
  • サイバー脅威をリアルタイムで検知し、迅速に対処する
  • リスクを軽減する
  • 機密データを保護する
  • セキュリティのレジリエンス(回復力)を強化する

CMについて

サイバー脅威の頻度と複雑さが増し、分散システムや常時接続のデジタルサービスが普及するにつれて、組織は、データ、アプリケーション、インフラストラクチャのセキュリティ状況を常に把握することが不可欠になっています。定期的な監視やバッチ監視では、チェックとチェックの間に問題が検出されず、組織が脆弱になる可能性があります。そのため、よりプロアクティブなセキュリティ対策が求められています。

CMは、主要なセキュリティ機能を自動化することで機能します。以下の機能を提供します。

  • 自動データ収集:システムログ、ネットワークトラフィック、アプリケーションなど、複数のソースからデータを収集。
  • 自動分析:パターン、異常、潜在的なセキュリティ脅威を特定。
  • 自動レポート:システムの健全性、パフォーマンス、セキュリティ体制を明確に把握。
  • 自動対応:疑わしいアクティビティをリアルタイムまたはほぼリアルタイムで警告し、事前に定義されたアクションを実行。

CMの種類

CMには、3つのコアコンポーネントがあります。

  • ネットワーク監視:これには、ネットワークトラフィックパターン、受信トラフィックと送信トラフィック、メールとWebトラフィック、帯域幅使用率、レイテンシ、パケットロス、ネットワークデバイスの健全性(ルータ、スイッチ、ファイアウォール)、プロトコルレベルの問題の検査が含まれます。目的は、データがネットワーク上で適切かつ安全に移動しているかどうかを確認することです。
  • アプリケーション監視:応答時間、システム稼働時間、リソース使用率、可用性、エラー率などのデータを収集することにより、ソフトウェアアプリケーションのパフォーマンスを追跡します。
  • システム監視:ここでは、サーバ、ストレージ、ハードウェアユニット、物理デバイス、コンピューティングリソースなどのITインフラストラクチャに焦点を当てます。
コア

これらはCMに必要な3つの要素として一般的に認められていますが、多くの組織がコンプライアンス監視も含めている点にも留意すべきです。これは、システム、プロセス、データ処理を規制要件、業界標準、社内ポリシーに照らし合わせてチェックすることで、組織がコンプライアンス要件を満たしていることを確認する取り組みです。

CMでは、脆弱性スキャナ、SIEM(Security Information and Event Management)システム、IDS(Intrusion Detection Systems)、IPS(Intrusion Prevention Systems)など、さまざまなツールとテクノロジーが活用されています。特に注目すべき2つの点は次のとおりです。

  • ログ管理と集約:ログデータは、IT部門が潜在的なサイバーセキュリティの脅威を検知するための主要な情報源です。そのため、ユーザアクティビティ、アプリケーションの使用状況、システムパフォーマンスなど、さまざまなソースからログデータを収集することが不可欠です。そして、分散システム全体のさまざまなログファイルからこのデータを収集し、一元管理し、統合(集約)して1か所にまとめる必要があります。過去のシステムログは、パフォーマンス、セキュリティ、ユーザ行動のベンチマークを作成するのに役立ちます。これにより、IT部門はブルートフォース攻撃、パスワードスプレー、SQLインジェクション、データ窃盗などの異常を容易に認識できるようになります。
  • パッシブモニタリング:テストトラフィックや合成トランザクションを追加することなく、既存のシステムアクティビティを監視およびキャプチャします。言い換えれば、パッシブモニタリングは、実際のユーザートラフィック、アプリケーションログ、ネットワークパケット、システムイベントを「監視」することです。

CMのメリット

メリット

CMの最大のメリットの一つは、組織のセキュリティ体制を強化できることですが、メリットはそれだけではありません。他にも以下のようなメリットがあります。

  • 可視性と透明性の向上:IT環境全体を包括的にリアルタイムで把握することで、組織はセキュリティ問題が甚大な被害をもたらす前に、それをより強力に把握し、対応できるようになります。
  • 脅威検知とインシデント対応の強化:サイバーセキュリティにおいてスピードは重要です。組織が脅威に迅速に対処すればするほど、被害は軽減されます。CMにより、脅威の重大度に基づいて迅速に評価し、場合によっては混乱を引き起こす前に適切な措置を講じることができます。多くの場合、適切なITチームに自動アラートが送信され、緊急の問題に迅速に対応できます。これにより、ダウンタイムが最小限に抑えられ、平均復旧時間(MTTR)が短縮され、システムとアプリケーションの迅速な復旧が可能になります。CMを通じて収集されたデータにより、組織はサイバーセキュリティ戦略について情報に基づいた意思決定を行い、レジリエンス(回復力)を高め、将来的な問題発生の可能性を低減できます。
  • コンプライアンスの向上:HIPAA、PCI DSS(Payment Card Industry Data Security Standard)、EUの一般データ保護規則(GDPR)などの規制を遵守する必要がある組織にとって、データ保護とプライバシーを確保する手段として、CMがしばしば必要となります。CMによって提供される強化された可視性とリアルタイムデータにより、組織は脆弱性を特定し、侵害が発生する前に適切な措置を講じることができます。
  • 運用効率とリスク管理の向上:リスク監視は、組織がセキュリティリスクをより効率的に管理し、ダウンタイムやサービス中断を削減し、コストを削減するのに役立ちます。CMは、組織のビジネスおよび運用パフォーマンスを把握し、最適化するために使用できるデータも提供します。例えば、ユーザの行動を追跡することで、カスタマーエクスペリエンスを最適化し、顧客満足度とロイヤルティを向上させることができます。一方、アプリケーションパフォーマンスの問題を検出することで、問題が計画外のダウンタイムや収益損失につながる前に、問題を解決できます。

CMの導入

CMを成功させるには、組織が実行すべき特定の手順があります。

  1. 目的と範囲の明確化:監視対象のシステムとデータを選択する際には、慎重に判断することが重要です。すべてを常に監視すると、コストがかかり、管理が困難になります。組織ごとにニーズと目標は異なります。関係者に相談し、監視プロファイルがお客さまの組織、技術、予算の制約に適合していることを確認する必要があります。この時点でリスク評価を実施し、サイバー攻撃のリスクと潜在的な影響に応じて資産の優先順位付けを行うことは有効です。リスクの高い資産にはより厳格なセキュリティ対策が必要ですが、リスクの低い資産には全く対策が必要ない場合もあります。
  2. テクノロジーの選択:CMを可能にするソリューションは多種多様です。組織は、それぞれのテクノロジーの拡張性、柔軟性、費用対効果を考慮する必要があります。
  3. 監視ポリシーと手順:セキュリティ対策は、物理的な資産やコンピュータシステムをセキュリティリスクから保護するのに役立ちます。これには、パスワードなどの認証方法、ファイアウォール、ウイルス対策ソフトウェア、侵入検知システム(IDS)、暗号化対策などが含まれます。組織は、監視責任者を明確にし、各対策の責任者を任命し、データ収集基準を策定し、アラートとレポートのルールとしきい値を設定し、インシデント管理方法を計画し、エスカレーション手順を定義する必要があります。
  4. 構成と統合:選択したテクノロジーは、ソフトウェアアプリケーションやSIEMシステムを含む、ITインフラストラクチャの他の部分と互換性がある必要があります。さらに、すべてのシステムが適切に連携するようにカスタマイズと構成を行う必要があります。
  5. レビュー:CMは「設定して忘れる」ような作業ではありません。組織のサイバーセキュリティ目標が達成されているかどうかを判断するには、継続的な分析が不可欠です。特に、CM戦略は、変化するニーズやインフラストラクチャ、新たなサイバー脅威や潜在的なリスクに適応する必要があります。

CMの課題

課題

CMには大きなメリットがありますが、課題がないわけではありません。特に、多大な費用、時間、技術、そして人員への投資が必要となる点が挙げられます。技術的なレベルでは、次のような課題が考えられます。

  • データの過負荷:CMは膨大な量のデータを生成するため、ストレージのニーズとワークロードが増加します。そのため、CMを設定する際には、優先度の高いデータとシステムを指定することが重要です。
  • アラート疲れ:IT部門は、誤検知や低リスクの問題を含む警告の数に圧倒されてしまう可能性があります。このような状況において、ランブックなどの自動化ツールをアラートと統合することで、人的介入なしに問題を解決できます。
  • エンドポイントアクティビティの追跡:今日では、デスクトップパソコン、ノートパソコン、タブレット、プリンタ、スマートフォンなど、従業員はさまざまなデバイスを使用しています。つまり、完全な可視性を得るには、さまざまなCM方法を組み合わせて使用することが不可欠です。
  • プライバシーとデータ保護の確保:追跡すべきデータは膨大であるため、リソースを効果的に活用するために、資産を重要度に応じて低、中、高の3段階に優先順位付けすることが重要です。
  • 統合:CMには様々なシステム、アプリケーション、データソース、ツールが関係するため、互換性の問題が発生する可能性があります。これは、お客さまの組織やそのインフラに大きな変更があるたびに新たな課題となります。だからこそ、すべての関係者と頻繁に協議し、監視が彼らにメリットをもたらしているのか、それとも阻害しているのかを見極めることが非常に重要です。

CMの将来的なトレンド

サイバー脅威とサイバーセキュリティが進化し続けるにつれて、CMも進化していきます。注目すべきトレンドの一つは、AI(人口知能)ML(機械学習)が監視に与える影響です。大量のデータを検査し、パターンを特定し、人間では検出が難しい異常を検知する能力により、組織の検知と対応能力の向上に貢献しています。これにより、より高度な自律的な意思決定が可能になり、AIはプロアクティブな防御策を講じ、攻撃にリアルタイムで対応できるようになります。

CMに関するサポートはどこで受けられるのか?

Trend Vision One™ は、Cyber Risk Exposure Management(CREM)、セキュリティ運用、そして強固な階層化保護を一元管理する唯一のエンタープライズサイバーセキュリティプラットフォームです。脅威の予測と防御を支援し、プロアクティブなセキュリティ対策を加速します。AIを活用し、最先端の研究と最新の脅威インテリジェンスに基づいたTrend Vision One™ Security Operations(SecOps)は、お客さまのインフラストラクチャに関する重要なインサイトを提供し、組織が単一のプラットフォームでサイバーセキュリティリスクをコントロールし、攻撃をより迅速に阻止することを可能にします。

関連記事