サイバーオペレーションはフュージョンセンターへ進化する必要があります。その理由とは。

1960年代の宇宙探査の登場以来、宇宙ミッションの成功は宇宙飛行士だけでなく、ミッションオペレーションセンターのエンジニアにも依存していることをすべての子供が理解しています。

すべての複雑なミッションやオペレーションは高リスクであり、失敗する可能性があります。これらの失敗は予測が難しいため、オペレーションセンターはミッションへの影響をリアルタイムで軽減するために重要な役割を果たします。

情報技術の世界におけるオペレーションセンターは、ITおよびネットワークオペレーションを稼働させ続けます。情報セキュリティ（InfoSec）およびセキュリティオペレーションセンター（SOCs）は同様の役割を果たします。Rick Howardが彼の「サイバーセキュリティの第一原則」で要約しているように、セキュリティオペレーションの目標は「サイバーイベントによる組織への重大な影響の可能性を減少させること」です。

私が過去15年間InfoSecの分野で学んだことは、最も成熟したサイバーセキュリティ組織は、そのアーキテクチャやエンジニアリンググループによってではなく、サイバーセキュリティオペレーショングループによって推進されているということです。

セキュリティオペレーションの歴史

SOCsは、もともとITセキュリティの監視を扱っていたネットワークオペレーションセンター（NOCs）から生まれました。組織は同時に、セキュリティインシデント対応やフォレンジクスに焦点を当てたコンピュータ緊急対応チーム（CERTs）や、脅威分析と評価に焦点を当てたサイバー防衛センター（CDCs）などの別々のグループを作成しました。どのような運用グループが作成されたとしても、すべての組織は2つの現実を認識しなければなりませんでした。

まず、SOCsは考えられるすべての脅威に備えることはできないため、InfoSecリーダーはSOCsの焦点を現実に観察される脅威に限定しなければなりません。次に、異なるグループが監視、インシデント対応、分析、フォレンジクスの責任を持つと、協力や専門知識の交換、最終的にはインシデント対応時間が妨げられます。では、次はどうするのでしょうか？

サイバーオペレーションの進化

次の10年の課題におけるSOCの付加価値

SOCsは次の10年で重要な課題に直面します。彼らの成功は、以下のトレンドに対する適応力に依存しています。

• ほぼすべてのビジネスがサイバー犯罪に脆弱です。産業やビジネスプロセスがデジタル化するにつれて、サイバーを利用した犯罪や詐欺が普及しています。多くの工業化された国では、サイバー犯罪が従来の犯罪を上回っています。サイバー犯罪は、より魅力的なリスク/リワードプロファイルを持っています。
  
  Verizonのデータ侵害レポート2020によれば、侵害の86%が金銭的動機によるものでした。したがって、InfoSecリーダーとSOCsは、ITを超えて個々のビジネス部門と統合する必要があります。

• 生産段階でのセキュリティの統合は遅すぎます。パブリッククラウド環境とDevOpsは、品質保証やセキュリティオペレーションのような集中機能の運用方法を変えました。
  
  したがって、セキュリティは開発ライフサイクルの早い段階で組み込まれ、「Shift Left」や「Security by Design」の原則を取り入れる必要があります。残念ながら、ほとんどのSOCsはまだDevOpsとどのように対話するかを理解していません。

• 自動化はサイバー犯罪と詐欺を革命化します。サイバー犯罪者はすでに自動化を利用して、フィッシングを通じてオンラインバンキングの顧客からお金を盗んだり、ハードドライブを暗号化して金銭を要求したりしています。
  
  サイバー犯罪者が組織に対する標的型攻撃で自動化を使用した場合、どうなるでしょうか？2016年のNotPetyaランサムウェア攻撃が示すように、私たちは大きな問題に直面しています。従来のSOCが、ハッカーが7分で60,000台のデバイスを乗っ取る能力と競争できるでしょうか？
  

これらのトレンドを考慮すると、従来の集中型SOCは価値を提供するのに苦労します。新しいモデルが必要です。サイバーフュージョンセンターがその解決策かもしれません。

サイバーフュージョンセンターの概念

サイバーフュージョンセンターはSOC戦略を進化させます。それはSOCだけでなく、物理的なセキュリティ、不正防止管理、ITオペレーション、その他の機能も体現しています。フュージョンセンターの概念は、9月11日のテロ攻撃後に米国の法執行機関コミュニティで生まれました。複数の機関のアナリストが、情報をより効果的かつ効率的に交換するために、いくつものフュージョンセンターに統合されました。

米国の大手銀行はこのアプローチを最初に採用しました。InfoSecリーダーは、2016年のバングラデシュ銀行強盗のような大規模なサイバー強盗が、より統合された情報交換によって回避または少なくとも軽減できることを学びました。一部の銀行は、取引監視からの連絡担当者をサイバーオペレーションユニットに配置することで対応しました。

フュージョンセンターは、ほぼすべての業界のあらゆる規模の企業に価値を提供できます。いくつかの例を見てみましょう。

• 金融：金融業界は、複数のグループ間で情報を共有することが鍵であることを痛感しました。インターネットからのATMハッキング、SWIFT取引の操作、M&Aインサイダーのスパイ活動はその一例です。
  
  現在、銀行は技術企業です。そして、しばしば10以上の運用グループが存在し、多くのインターフェースや協力のためのプラットフォームやメカニズムを持っていません。SOC、取引監視、不正防止、物理的セキュリティグループを統合することは、銀行の全体的なリスク管理と運用に大きな利益をもたらす可能性があります。
• エネルギー：Marc Elsbergの「Blackout」を読んだことがある人は、電力網が影響を受けたときに何が危険にさらされるかを理解しています。たとえばウクライナは、サイバーを利用した2回の停電を経験しました。このセクターでは、SOCsと運用技術監視部門が統合される必要があります。
• 輸送：誰もハッキングされた飛行機、車、列車、船に乗りたくありません。パワードライブ、ナビゲーション、その他の輸送システムの現代的なアーキテクチャを考えると、InfoSec、運用、物理的セキュリティ部門が深く統合される必要があることは明らかです。

DevOpsをフュージョンセンターに組み込んでサイバーセキュリティオペレーションを強化する

開発運用（DevOps）は、しばらくの間フュージョンセンターの原則を再現しており、より良い協力、回復力、市場投入までの時間を実現しています。InfoSecリーダーはこのモデルを採用することで大いに役立つでしょう。DevOpsはまた、脅威インテリジェンスと監視を統合することで、回復力と脅威管理の両方に対するより積極的なアプローチを提供します。

「このブロックされた取引は先週の銀行侵害に関連しているのか？」といったDevOpsレベルの質問は、フュージョンセンターの状況認識を向上させるだけでなく、ビジネスチームのためのより良いプレイブックを設計または自動化するのにも役立ちます。

サイバーフュージョンセンター

ほとんどの運用チームはすでに、検出の衛生管理や予防制御、SLAとKPIの管理、応答プレイブックの自動化など、いくつかの能力と技術を共有しています。これらの共有サービスは、SOCやフュージョンセンターの組織化方法を標準化し、組織の衛生と回復力を劇的に向上させる可能性があります。

残念ながら、サイバーフュージョンセンターの青写真はまだ存在しません。他の機能からSOCに連絡担当アナリストを配置することで小さなステップからこの変革を始めることも、大規模にすべての運用機能を統合することもできます。

最終的には、成功基準を最初に定義し、頻繁に測定することが重要です。宇宙オペレーションセンターがロケット打ち上げ前とミッション全体を通じてリスクと失敗の数を測定するように、私たちはサイバー攻撃やサイバーを利用した詐欺、恐喝、誘惑に対してサイバー回復力を測定しなければなりません。