ブログに戻る

フォロー&ご登録

スマートなセキュリティオペレーション : コードを用いた検知を採用

Simran Khalsa

Staff Security Researcher

Gary Harrison

Fastly のスタッフ検知エンジニア

Marcus Young

Fastly のシニアセキュリティエンジニア (検知エンジニアリング)

黄色の輝く盾から、ひび割れた灰色の盾が剥がれ落ちるイラスト。

Web 攻撃がより巧妙になるにつれ、セキュリティチームにはより迅速な対処が求められています。別の言い方をすれば、従来のリアクティブなアプローチはもはや十分ではなく、適切な保護を提供していません。必要なのは、俊敏性、精度、スケーラビリティです。まさにそのために、コードを用いた検知が構築されました。

CyberRisk Alliance が主催した最近のウェビナーでは、セキュリティ専門家パネリストが、特にセキュリティルールをコードとして扱う最新の検知戦略が、脅威の検知とレスポンスをどのように強化できるかを話し合いました。議論の中心となったのが、コードを用いた検知を実際のセキュリティ ワークフローに適用する方法を示す強力な例である Fastly の WAF シミュレーターでした。

コードを用いた検知とは

コードを用いた検知とは、WAF ルールや SIEM アラートなどの検知ロジックをコードとして扱う、最新のセキュリティアプローチです。検知エンジニアは、UI でルールを手動で管理する代わりに、Git、CI/CD パイプライン、自動テストなどのツールを使用してルールを作成、検証、デプロイします。これにより、バージョンコントロール、ピアレビュー、テスト自動化といったソフトウェア開発のベストプラクティスがセキュリティオペレーションの領域に導入されます。

その結果、検知管理において、よりスケーラブルで信頼性が高く、協調的なアプローチが可能になり、チームは脅威に迅速に対応し、複雑な環境全体で一貫性を維持することができます。

静的ルールから反復的な防御へ

1時間のウェビナーで取り上げられた重要なテーマの1つが、市販の検知ルールと、カスタマイズされたコンテキスト認識型の検知エンジニアリングの違いでした。Fastly のシニアセキュリティエンジニアである Mark Young は、「理解していないものを本当に保護することはできない」と述べました。一見、ベンダー提供のルールから始めた方がすぐにうまくいくように思えるかもしれませんが、大量のノイズが生成されることが多く、さらに悪いことに、重大な脅威を見逃すこともあります。環境、ユースケース、アプリケーションに合わせて検知ロジックを調整することは、単なるベストプラクティスではなく、必要なことなのです。

Fastly のスタッフ・サイバーセキュリティ・エンジニアである Gary Harrison は、強力な社内関係の価値を強調し、その点について詳しく説明しました。「私たちはセキュリティアーキテクトやプロダクトチームと緊密に連携し、リスクがどこにあるのかを特定し、それに応じたコントロールを適用しています。外部の脅威インテリジェンスを内部の関連性に変換することが大事なのです。」

検知のための DevSecOps マインドセット

Fastly の3人のパネリストは、コードを用いた検知と現代のソフトウェア開発との間にある明確な類似点を示しました。優れた検知エンジニアリングは、何を検知したいのか、なぜ検知したいのかを明確に理解するという仮説から始まります。そこから、データ検証、ルール作成、回避テスト、シミュレーション、改良、デプロイのライフサイクルが続きます。

Fastly の WAF シミュレーターがこのサイクルで重要な役割を果たします。これにより、チームは真陽性と偽陽性の両方のケースを独自のルールに基づいてテストできるため、アラート疲労が軽減され、自動レスポンスへの信頼が高まります。Fastly のセキュリティ研究者 Simran Khalsa は次のように述べています。「シミュレーションを実行することは、何が合格するかを確認するだけでなく、何がアラートをトリガーすべきでないかを証明することも目的です。」

自動化とフィードバックループ

コードを用いた検知のワークフローを採用することで、自動化の強力な機会が開かれます。ノイズの多いルールの自動無効化、データソースが枯渇した際のアラートのトリガー、インシデント事後分析からのフィードバックループの統合を通じて、チームは継続的な改善を進め、対応力を高めることができます。

「すべてのインシデントが学びの機会です」と Gary Harrison は語ります。「何かを見逃した場合、私たちは戻って自問します。なぜ私たちの検知でそれを捉えられなかったのか?「どうすればそのギャップを埋められるのか、と。」この継続的な改良の考え方は、DevOps の原則と一致し、セキュリティエンジニアリングの運用をさらに成熟させます。

コードを用いた検知をいつ使い始めるか

すべての組織が初日からコードを用いた検知の完全なパイプラインを必要とするわけではありません。コンテキストを見失ったり、ルール変更の管理に苦労したり、大量の偽陽性に圧倒されたりした瞬間が、使用開始の合図です。

「まずは、小さく始めること」と Simran Khalsa はアドバイスしています。「1つのチームやユースケースから始めてください。そして影響を測定し、勢いをつけましょう。何より大切なのは、検知結果をバージョン管理しておくことです。基本的な Git リポジトリでも、スプレッドシートでは実現できないトレーサビリティとコラボレーションが可能になります。」

セキュリティオペレーションの未来

「コードを用いた検知」は単なる流行語ではありません。攻撃がこれまで以上に巧妙化している時代において、現代のシステムの保護方法に求められる進化です。開発のベストプラクティスを採用し、検知をソフトウェアのように扱うことで、セキュリティチームは、精度やコントロールを犠牲にすることなく、変化する脅威に対応し、リスクを軽減し、より迅速に対応することができます。

この会話の詳細を詳しく知りたい方は、以下でウェビナーの全編をご覧ください。