「単一製品」「統合製品」どちらがよいのか

単一の機能のみを提供するサイバーセキュリティ製品があふれている。セキュリティ製品やセキュリティサービスを何十個も購入しているにもかかわらず、そのうちのいくつかを忘れてしまったり、使わなかったりする企業がある。このような製品をどうすればよいのだろうか。

[Matt Kapko，Cybersecurity Dive]

　単一の機能を備えた製品を組み合わせて使うのがよいのか、統合製品に置き換えた方がよいのか。運用やコストの他、そもそも目指しているセキュリティの目標を実現できるのだろうかといった疑問が湧く。

　どのような考え方で臨めばよいのだろうか。

単一製品を滅ぼすことが目的なのか

　単一製品を組み合わせた場合、出費が無駄になるだけではない。サイロ化した技術自体が脆弱（ぜいじゃく）性の温床となる。サイバー攻撃に対する防御や回復力に役立てようと苦労しているときに、このような複雑さは邪魔になる。

　Digital ShadowsのCISO（最高情報セキュリティ責任者）兼戦略担当副社長、リック・ホランド氏は、「（単一の機能を提供する）製品は死滅する必要がある」と述べている。

　大半の企業は単一の機能を提供する製品に投資すべきではないと、ホランド氏は述べている。エンドポイント検出製品、エンドポイント保護製品や類似の製品を2〜3種類保有する企業は珍しくないため、ホランド氏の意見は注目に値する。

　ホランド氏と同じ意見を持つ専門家は少なくない。IBM SecurityでX-Force部門の責任者を務めるチャールズ・ヘンダーソン氏は、次のように述べている。

　「セキュリティにおいて、相互運用性のない単一の製品が顧客にとってますます大きな損失を生む段階にきている。これらの製品が単独で機能するだけなら、投資した時間や資金に見合うものではないからだ」

　セキュリティ製品が個別の機能ごとに分かれていると、コストや複雑さ、運用の非効率性など、多くの課題が生まれる。

　Gartnerによれば、製品の「縮小」がすでに始まっている。2020年には調査対象企業の3分の1以下がベンダーの統合を進めている状態だったが、2022年は4分の3の企業が統合を進めている（注1）。

　2022年初頭にGartnerが実施した調査では、半数以上の組織が、取引のあるセキュリティベンダーを10社未満に絞っていると回答した。さらに3分の2の組織が、セキュリティベンダーの数を減らすことで複雑さを軽減して、サイバー攻撃に対する組織の全体的な防御（リスクポスチャー）を改善できる見込みだと回答した。

　Gartnerによると、セキュリティベンダーの統合を進めていない組織の3分の2は、これまで時間的な制約や硬直的な契約上の義務によって、統合が進んでいなかったと述べている。

　製品の乱立（注2）は最近に始まったことではなく、広く見られる現象だ。Trend Microの2021年版レポート（注3）によると、組織では平均29種類のセキュリティ監視製品を使用している。セキュリティチームは警告疲れを起こしやすくなっており、実際のサイバー攻撃を見逃すリスクが高まると報告されている。

細分化により脆弱性と複雑性が生じる

　Kyndryl Holdingsのグローバルセキュリティ＆レジリエンスプラクティスリーダー、クリス・ラブジョイ氏は「セキュリティ市場は長い間、何千何万もの単一製品が存在する断片的な空間だった」と述べている。

　「現在では脆弱な技術が増えており、脆弱な技術を攻撃する脅威が増加している上に、過剰な製品に課される規制も増えている」（ラブジョイ氏）

　こうしたことは全て、「ある特定の課題を解決するためだけにしか使えない複雑で断片化した技術を提供するセキュリティ市場で起こっているのだ。セキュリティ管理のコストと複雑さは、外的要因によって指数関数的に高くなっている」（ラブジョイ氏）

　ラブジョイ氏によると、これらの製品の多くは組織の危機やコンプライアンスの強化をきっかけとして購入されたものだ。これは組織が問題発生時に多額の費用をかけずに（一時的に）出血を止めようとした結果だ。

　企業は誇大広告に踊らされている。これまで使ってきた資産やパッチ、脆弱性を管理する製品と比較して、「新しく洗練された」製品がさほど価値を提供しない可能性を認識していない。

　「最適な製品が魅力的な製品ではないこともある。たとえ過去25年間使われてきた製品であっても、結局のところ、他の何よりも価値がある場合もあるのだ」（ラブジョイ氏）

　ラブジョイ氏はセキュリティ機器を簡素化して、重複する技術や不要な技術を排除するよう組織に助言している。単一のベンダーに集約することが目的ではなく、防御のために活用できるコントロールのカタログを作成することが目的だ。

組織は冗長性を排除する必要がある

　急速に変化する環境の中で、セキュリティの専門家が必携と考える製品群は輝きを失いつつある。

　ヘンダーソン氏は「多くの組織は（攻撃者がどのように組織を攻撃するかという視点でセキュリティ態勢や対策の有効性を確認する）レッドチームに頼っている。つまり、侵入を想定した状況からスタートするケースが増えている一方で、境界の保護に対する関心が薄れつつある」と述べている。

　「サイバー攻撃者は十分な時間があれば侵入できるという前提に立てば、企業は攻撃者が侵入できることを確認するために費用を払う必要はないことになる」（ヘンダーソン氏）

　CyberProofの創設者兼CEO（最高経営責任者）で、親会社UST GlobalでCISOを務めるトニー・ベレカ氏は、セキュリティ情報とイベント管理の他、エンドポイント検出と対応、OT（制御技術）システム、クラウドクラスタ管理システムなど、他の製品が独自のセンサーとして扱われていると述べている。

　ベレカ氏によれば、セキュリティの中心はSIEM（Security Information and Event Management）ではなく、オーケストレーションエンジンになりつつあり、ほとんどの企業はこのシステムをMicrosoftやGoogleに全面的に任せることになると予想している。

　しかし、セキュリティの専門家はどの製品やサービスが組織の防御と対応を実際に助けているのか、判断する必要があると、ベレカ氏は述べている。

　CISOが交代を迫られるのは、他に高性能なシステムがあり、組織のセキュリティスタック全体とより統合されているにもかかわらず、その目的を満たさない単一製品を購入するためだ。

　「古い判断に縛られている場合は、人を入れ替えなければならないこともある」（ベレカ氏）

出典：‘Point solutions just need to die’: The end of the one-trick security tool（Cybersecurity Dive）

注1：Gartner Survey Shows 75% of Organizations Are Pursuing Security Vendor Consolidation in 2022

注2：Cybersecurity tool sprawl leading to burnout, false positives: report（Cybersecurity Dive）

注3：SECURITY OPERATIONS ON THE BACKFOOT（PDF）