サイバーセキュリティ・メッシュ（CSMA）：アーキテクチャ、メリット、実装

サイバーセキュリティ・メッシュとは何か？

サイバーセキュリティ・メッシュは、ネットワーク全体ではなく、個々のデバイスやユーザーを取り巻くセキュリティ境界線を定義できるネットワーク・セキュリティのアプローチである。これは、ポリシーの実施とセキュリティ・サービスの提供を分散化するアーキテクチャ・フレームワークである。サイバーセキュリティ・メッシュのコンセプトは、基本的にゼロ・トラスト・セキュリティの原則に沿って、アイデンティティがセキュリティ境界を定義できるようにすることである。

サイバーセキュリティのメッシュモデルは、セキュリティは中央集権的な一枚岩の構造を中心に構築されるという従来の概念に挑戦するものである。その代わりに、より柔軟で適応性の高いアプローチを採用し、セキュリティ管理を機能レベルで分散して運用する。

このアプローチにより、ネットワーク活動の可視性が向上し、アクセス権をよりきめ細かく制御できるようになり、サイバーセキュリティの脅威に対する防御がより強固になります。サイバーセキュリティ・メッシュは、今日のIT環境の複雑化とサイバー脅威の高度化に対応するものです。

推奨図書：サイバー脅威インテリジェンスの4つのタイプと効果的な使い方。

サイバーセキュリティ・メッシュの必要性

今日の企業は、データやサービスが複数のプラットフォームやデバイスに分散している環境で事業を展開しています。このような分散により、従来の集中型セキュリティモデルでは効果的な保護が困難な複雑な状況が生み出されている。分散化と柔軟性を重視するサイバーセキュリティ・メッシュ・アプローチは、この複雑性に対処するのに適しています。

サイバーセキュリティ・メッシュの主な利点の一つは、カスタマイズされたセキュリティ制御を提供できることである。従来のセキュリティモデルは、ネットワーク全体に包括的なポリシーを適用する傾向があり、不必要な制限や脆弱性の見落としにつながる可能性がある。これとは対照的に、サイバーセキュリティ・メッシュは、各デバイスやユーザーの特定のニーズやリスクに合わせて慎重に調整された個別のセキュリティ制御を可能にします。

さらに、サイバーセキュリティ・メッシュは、リモートワーク、モバイル・デバイス、モノのインターネット（IoT）のトレンドをサポートします。ネットワークに参加するデバイスが増え、従業員がさまざまな場所から企業のリソースにアクセスするようになると、分散型で適応性の高いセキュリティ・モデルの必要性がますます明らかになります。サイバーセキュリティ・メッシュはこのニーズに応え、進化するデジタル環境とともに成長し、適応できるフレームワークを提供します。

サイバーセキュリティ・メッシュ・アーキテクチャ（CSMA）レイヤー

ガートナーは、複数のセキュリティ層を含むサイバーセキュリティ・メッシュ・アーキテクチャ（CSMA）の概念を紹介した：

セキュリティ分析とインテリジェンス

このレイヤーは、プロアクティブな脅威の検知と対応に不可欠である。データの収集、分析、解釈を行い、潜在的なセキュリティ脅威を特定する。このレイヤーは、セキュリティ状況を理解し、リスク管理について十分な情報に基づいた意思決定を行うために必要な洞察を提供します。

分散アイデンティティ・ファブリック

分散型アイデンティティ・ファブリックは、サイバーセキュリティ・メッシュ・アプローチのバックボーンである。アイデンティティとアクセス管理の分散化を可能にし、個々のデバイスやユーザーが独自のセキュリティ境界線を持つことを可能にする。このレイヤーは、サイバーセキュリティ・メッシュ・モデルの中心である、きめ細かくカスタマイズされたセキュリティ管理を可能にするために不可欠である。

統合ダッシュボードと可視化

このレイヤーは、セキュリティ状況の統一されたビューを提供する。サイバーセキュリティのメッシュは分散型であるにもかかわらず、全体的なセキュリティ態勢を一元的に把握することが重要です。このレイヤーは、そのような概観を提供し、傾向や異常の特定を容易にするセキュリティ・データの視覚的表現を提供します。

連結方針と姿勢管理

この最後のレイヤーは、セキュリティ・ポリシーが定義され、実施される場所である。このレイヤーは、サイバーセキュリティ・メッシュ内のさまざまなセキュリティ境界線を管理するための中央制御ポイントを提供します。すべてのデバイスとユーザが確立されたセキュリティ・ポリシーを遵守していることを保証し、検出されたセキュリティ・インシデントへの迅速な対応を可能にします。

CSMAの主な利点

相互運用性と統合

モビリティとIoTの時代には、異なるメーカー、モデル、オペレーティング・システムのデバイスが無数に共存しており、相互運用性は重要な課題となっている。従来のセキュリティシステムは、さまざまなデバイス間のシームレスな統合を提供できないことが多く、潜在的なセキュリティの抜け穴につながる。

しかし、サイバーセキュリティ・メッシュは、その分散型アプローチにより、より優れた相互運用性と統合を可能にする。メッシュ内の各デバイスやノードは、独立しながらも安全に動作することができる。つまり、デジタル・エコシステムがどれほど多様であっても、各部分が他の部分と効果的に通信し、同期することができ、すべてが安全な傘の下にあるのだ。

コンテキスト・アウェア・セキュリティー

サイバーセキュリティ・メッシュは、コンテキストを考慮したセキュリティを提供する。つまり、セキュリティ対策はデバイスやデータだけでなく、それらが使用されているコンテキストも考慮される。例えば、デバイスが未知の場所や通常とは異なる時間に機密データにアクセスすると、セキュリティ警告が発せられる可能性がある。

このコンテキスト・アウェアネスは、セキュリティに新たなレイヤーを追加し、他の方法では気づかれないかもしれない潜在的な脅威を検出し、防止するのに役立ちます。これは、デジタル世界のダイナミクスの変化を理解し、それに適応する、よりプロアクティブなセキュリティへのアプローチである。

アイデンティティ中心の境界

従来のネットワーク・セキュリティは、定義された物理的または仮想的な境界を保護することに重点を置いていました。しかし、ワークフォースもリソースも分散している今日の高度に相互接続されたモバイルの世界では、このアプローチはもはや有効ではありません。サイバーセキュリティ・メッシュはこの概念から脱却し、アイデンティティ中心の境界線に焦点を当てている。

ID中心モデルでは、セキュリティ・パラメータはユーザーまたはデバイスのIDによって定義される。このアプローチでは、ユーザーがどこにいても、どのデバイスを使用していても、セキュリティ・プロトコルは無傷のままであることが保証される。これは、「信頼するが検証する」アプローチから、ゼロ・トラスト「決して信頼せず、常に検証する」アーキテクチャやモデルへの大きな転換であり、より堅牢で信頼性の高いセキュリティ・モデルを提供する。

プロアクティブでほぼリアルタイムのディフェンス

サイバー脅威がますます巧妙化する中、事後的なセキュリティ対策ではもはや十分ではありません。プロアクティブでほぼリアルタイムの防御が必要であり、それがサイバーセキュリティ・メッシュが提供するものである。

メッシュの分散化された相互接続性により、潜在的な脅威に対する迅速な検知と対応が可能になる。メッシュ内の各ノードが独立して脅威を監視、検出、対応できるため、ほぼリアルタイムの防御メカニズムが実現する。さらに、セキュリティ対策のプロアクティブな性質は、侵害が発生するのを待つのではなく、システムが常に異常を警戒していることを意味する。

サイバーセキュリティ・メッシュ導入のための4つの検討事項

1.統合セキュリティフレームワークの構築

サイバーセキュリティ・メッシュには数多くの利点があるが、その導入には慎重な計画と検討が必要である。考慮すべき重要な側面の1つは、さまざまなセキュリティ・ソリューションが相乗効果を発揮できる統合フレームワークを構築することである。

サイバーセキュリティ・メッシュの目標は、個々のノードやデバイスを保護することである。しかし、これらのノードは多様であるため、画一的なセキュリティ・ソリューションではうまくいかない。その代わりに、異なるセキュリティ・ソリューションが共存し、それぞれが他を補完しながら連携できるフレームワークが必要です。

2.オープン・ポリシー・フレームワークによるセキュリティ・ソリューションの選択

もう一つの重要な考慮点は、オープン・ポリシー・フレームワークを持つセキュリティ・ソリューションを選択することである。オープン・ポリシー・フレームワークとは、各ノードやデバイスの特定のニーズに応じてセキュリティ・プロトコルをカスタマイズできることを意味する。例として、サービスアカウントは開発者用の認証情報とは異なるニーズがあり、それらの動作を管理するポリシーは大きく異なります。

サイバーセキュリティ・メッシュが効果的に機能するためには、この柔軟性が極めて重要である。メッシュ内の各ノードには固有の要件があり、オープンなポリシーフレームワークは、全体的なセキュリティを損なうことなく、必要なカスタマイズを可能にする。

3.ゼロ・トラスト原則に沿った監査プロセス

サイバーセキュリティ・メッシュを導入するには、ゼロ・トラストの原則に沿った強固な監査プロセスが必要である。このプロセスには、ネットワーク内の各ノードにおけるセキュリティ対策の継続的な監視と検証が含まれる。単にセキュリティ対策を講じるだけでなく、これらの対策が効果的であり、一貫して遵守されていることを確認する必要があります。

この文脈では、監査プロセスは各ノードにおけるIDおよびアクセス制御の検証に重点を置くべきである。これは、誰がどのデータになぜアクセスできるかを定期的に検証し、そのアクセス権限が個人の役割やデバイスの機能に厳密に必要なものであることを確認することを意味する。このプロセスには、確立されたセキュリティ・プロトコルからの異常や逸脱の定期的なチェックも含まれるべきであり、これにより組織は、潜在的な脆弱性や侵害を迅速に特定し、対処することができる。

4.カスタマイズ可能なセキュリティツールの選択

サイバーセキュリティ・メッシュのセキュリティ・ツールを選択する際には、カスタマイズが可能なソリューションを選択することが不可欠です。メッシュ・ネットワークにおけるデバイスとユーザの役割は多様であるため、セキュリティ・ニーズはノードごとに大きく異なる可能性があります。機能が硬直的なツールは、このような多様な環境において適切なセキュリティを提供できない可能性があります。

カスタマイズ可能なセキュリティ・ツールは、各ノードの特定のニーズに合わせて調整することができ、機能を妨げることなく適切なレベルのセキュリティを提供します。これには、セキュリティ・プロトコルの調整、独自のアクセス制御の定義、さまざまなシステムやアプリケーションとの統合が含まれます。カスタマイズにより、組織のニーズの変化に合わせてセキュリティ・メッシュを適応させることができ、運用効率を妨げることなく強固なセキュリティ体制を維持することができます。

エクサビームとのサイバーセキュリティ・メッシュ

サイバーセキュリティ・メッシュを監督する上で最も重要な3つの特徴は、共通の情報モデルによる協調的なデータ共有、取り込み時のログの充実化、そして明確なセキュリティ分析である。

Exabeam Fusion Enterprise Edition Incident Responderは、アナリストがよりスマートに作業できるよう、主要なITおよびセキュリティ製品との650を超える統合をサポートしています。サードパーティベンダーのデータソースとのインバウンド統合を提供することで、アナリストは、Exabeamが開発し、他のセキュリティベンダーと共有している共通の情報モデルに沿って、可能な限り多くのデータを簡単に取り込むことができます。

Exabeamのエンリッチメント機能は、サイバーセキュリティ・メッシュのいくつかの分野に強力なメリットをもたらします。Exabeamは3つの方法でエンリッチメントをサポートします：

• 脅威インテリジェンス:最新のIoCを武器に、Threat Intelligence Service (脅威インテリジェンスサービス)ファイル、ドメイン、IP、URLレピュテーション、TORエンドポイントの識別などのエンリッチメントを追加して、既存の相関関係と行動モデルに優先順位を付けたり更新したりします。
• Geolocationエンリッチメント：ログに存在しないことが多いロケーションベースのコンテキストを追加することで、精度を向上させます。
• ユーザー-ホスト-IPマッピングのエンリッチ化：ログにユーザーとアセットの詳細を追加し、異常なアクティビティを検出するための行動モデルを構築するために重要です。