ウィキペディアを引用すると、「可観測性」は制御理論に由来し、出力からシステムの状態をどの程度決定できるかを測定するものです。 同様に、ソフトウェアでは、観測可能性とは、メトリクス、ログ、トレース、プロファイリングなど、得られたテレメトリからシステムの状態をどれだけ理解できるかということです。

現在の可視化とモニタリングには行動インテリジェンスが欠けています

従来のモニタリングは、パフォーマンス、健全性、ユーザーエクスペリエンス、セキュリティ、および回復力に関するアプリケーション、ネットワーク、およびエンドポイントに関連する問題を視覚的に監視し、特定するために一般的に採用されています。 アラートは、電子メール、SMS、ダッシュボードを通じて重要なイベントを迅速に通知するために、モニタリングと組み合わされます。 APM、NPM、SIEMで使用されるこの従来のモニタリングは、リスクは事前に分かっているが、具体的な発生時間は未知のままである「既知の未知」を対象としています。 このような監視は、トラブルシューティングが簡単で明白な、エンティティ数が限られた単純なシステムには十分です。 しかし、分散アプリケーション、マルチクラウドの展開、エッジコンピューティング、多数のパートナーとのコラボレーションアプリケーションなど、複数のアーキテクチャの出現により、企業システムは複雑さを増しています。 さらに、これらのアーキテクチャに関連する攻撃対象の拡大により、従来のモニタリングや単純な相関関係では不十分になっています。 既知の未知数」に対処するだけでは不十分です。 観測可能性プラットフォームは、これまで考慮されていなかった予期せぬリスクを特定することで、飛躍的な進歩を遂げます。 これらのプラットフォームは、「未知の未知」を扱うように設計されており、パフォーマンス、健全性、セキュリティ、および動作に対する深い可視性を提供することで、より迅速かつ正確なトラブルシューティングとデバッグを実現します。 この投稿では、SASE(セキュア・アクセス・サービス・エッジ)のネットワーキングとセキュリティ・コンポーネントから収集された入力によって最適に達成される観測可能性に焦点を当てます。 具体的には、ユーザー、ネットワーク、アプリケーション・エンティティ、インターネット・アクセスの異常な挙動を特定するための挙動異常に関する観測可能性のユースケースを探ります。 観測可能なプラットフォームは、入力データの品質に大きく依存しています。 この文脈で、私たちは、SASEソリューションが、ログ、メトリクス、およびトレースの形で、どのように豊富なデータを提供するか、そして、観測可能性システムが、様々なユースケースに対処するために、どのようにこのデータを活用できるかについて掘り下げます。 SASEソリューションからの洞察を活用することで、観測可能性ソリューションはその機能を強化することができ、その結果、モニタリングの改善、プロアクティブなリスク検出、およびロバストなシステム分析が可能になります。 SASEと観測可能性を組み合わせることで、最新のエンタープライズ・システムを効率的に監視し、セキュリティを確保するための強力なフレームワークを提供します。

SIEM、NDM、NDR、APM、XDR – 異常検知は限定的

今日の状況では、数多くの可視化および監視ツールが利用可能で、それぞれがそれぞれの機能に精通しています。 しかし、これらの製品には、主にビヘイビアベースの異常検知や、限定的なイベント相関性など、特定の制限があり、詳細な可視化と根本原因の分析を提供する能力を妨げています。 私たちの考えでは、これらのツールは最終的には行動分析/予測分析、より深い可視性を包含し、パフォーマンス、セキュリティ、回復力システムの要件を満たすものであるべきです。 完全性を達成するために、ユーザーとエンティティの行動分析(UEBA)機能を追加することは、これらのツールにとって非常に重要です。 さらに、観測可能性を高めるには、相関性の向上が必要だと強く考えています。 より良い相関を実現するには、ネットワーク・デバイス、セキュリティ・デバイス、アイデンティティ・システム、アプリケーション・インフラから関連データが必要です。 とはいえ、ログの内容、メトリクス、ログのスキーマや形式が異なるため、異なるベンダーのデバイスやシステム間で一貫してこの情報を取得することは困難です。 最大の課題は、包括的な分析に必要な情報に一貫性がなく、欠落していることです。 単一のベンダーが提供する複数のネットワークとセキュリティ機能を、まとまりのあるアーキテクチャの下で統合するUnified SASEは、相関と行動分析に関するこれらのツールの負担を軽減することができます。 UEBAをより深く掘り下げ、unified SASEのデータプレーンから期待されるログとメトリクスのタイプを探ってみましょう。

ユーザーとエンティティの行動分析

サイバーセキュリティ業界では、「User and Entity Behavior Analytics」(UEBA)という言葉を生み出しました。 これは、組織のネットワーク内のユーザー(従業員、請負業者、パートナーなど)やエンティティ(デバイス、アプリケーション、ネットワークなど)の行動を監視・分析し、異常または疑わしい行動を検出することを指します。 UEBAソリューションは通常、高度な分析と機械学習(AI/ML)技術を使用して、各ユーザーとエンティティの通常の行動のベースラインを確立します。 ベースラインが確立されると、システムはこのベースラインとリアルタイムの動作を継続的に比較し、潜在的なセキュリティ脅威や異常な活動を示す可能性のある逸脱や異常を検出します。 また、ベースラインは時間と共に変化し続けるため、ベースラインの更新とそれに対応する継続的なモデルトレーニングが必要であることも重要です。 UEBAは、従来のセキュリティ対策では気づかれないような異常なパターンや行動を特定し、内部脅威、不正アクセス、その他の不審な行動を検知することを目的としています。 UEBAは、振る舞いを分析することで、潜在的なセキュリティ・インシデントに関するさらなるコンテキストと洞察を提供し、セキュリティ・チームが迅速かつ効果的に対応できるようにします。 UEBAはサイバーセキュリティの文脈で定義されていますが、振る舞い異常検知はサイバーセキュリティに限定されるものではなく、アプリケーションやネットワークなどのエンティティのパフォーマンス面に適用されます。 業界では、サービス・メッシュやSASE技術を使ったゼロ・トラスト・アーキテクチャー(ZTA)の実現は、UEBAを含めて初めて完成する、と言う人もいます。 UEBAは異常について話しているので、まず「異常検知」という言葉、さまざまな種類の異常、異常を検知するために使われる技術について理解しましょう。

サイバーセキュリティのための異常検知

このブログ記事「異常検知とは何か」は、異常検知の優れた概要を提供しています。 簡単に言うと、異常検知とはデータセット内の異常なポイントやパターンを特定することです。 あらかじめ定義された許容範囲内で、確立されたベースラインから逸脱するものはすべて異常とみなされます。 サイバーセキュリティ業界では、異常は良性の場合もあれば懸念される場合もありますが、悪意のある異常を検出することが最も重要です。 教師なし異常検知は、サイバーセキュリティにとって特に重要です。 言い換えれば、この教師なしアプローチは、セキュリティ脅威の文脈における「未知の未知」を検出するために不可欠です。 異常検知は、統計ツールを活用する場合もあれば、機械学習アルゴリズムを必要とする場合もあり、さまざまな手法でアプローチすることができます。 異常検知に使用される機械学習アルゴリズムには、2つの一般的なタイプがあります:

  • クラスタリング:クラスタリングは、データポイントを類似性や距離に基づいてグループ化する技術です。 クラスタリングでは、どのクラスタにも属さない、あるいは最も近いクラスタ中心から著しく離れたデータ点を検出することで異常を特定できます。 クラスタリングアルゴリズムの例としては、K-meansなどがあります。
  • 密度推定密度推定はデータの確率分布を推定する手法です。 確率密度の低いデータポイントや低密度領域に存在するデータポイントを見つけることで、密度推定を使用して異常を検出することができます。 一般的な密度推定アルゴリズムには、孤立林、カーネル密度推定などがあります。

記述的分析については、すでに多くの監視システムがサポートしているため、ここでは取り上げません。 ここでの主な焦点は、予測分析の一分野である行動分析です。 前述の通り、異常検知はサイバーセキュリティに関連しているため、ここでは異常検知を取り上げます。 異常検知のいくつかの例は、SASEソリューションに期待される情報のタイプ、特にUEBA(User and Entity Behavior Analytics)と一般的な観測可能性を理解するのに役立ちます。 以下のセクションでは、サイバーセキュリティとネットワーキング業界で必要とされる異常検知を提供します。 前述したように、事前に知られていない検知タイプを識別するために、複数の機能を備えた汎用的な異常検知システムを用意することも重要です。 未知の検出タイプを識別するための重要な考慮点は、入力ログとメトリクス・データが包括的であることです。 以下は、異常検知のいくつかの例です:ユーザ行動の異常:

  • 通常のパターンとは異なる場所からインターネット、SaaS、およびエンタープライズアプリケーションにアクセスするユーザー。
  • 通常の利用パターンと比較して、異常な時間帯にサービスにアクセスするユーザー。
  • 短時間に複数の場所からアプリケーションにアクセスするユーザー。
  • ユーザーが匿名のプロキシを経由してサービスにアクセスすることで、セキュリティ上の懸念が生じます。
  • 悪意のある活動に関連する可能性のある不審なIPアドレスからサービスにアクセスするユーザー。
  • 潜在的なセキュリティ脅威を示す、疑わしいドメインやURLにアクセスするユーザー。
  • ファイルのダウンロードやアップロードに異常な動作が見られるユーザー。
  • アプリケーション、インターネットサイト、またはSaaSアプリケーションへの通常とは異なるアクセスを示すユーザー。

異常なユーザー活動:

  • ユーザーによるサインインの回数が異常に多い場合、認証情報の漏洩や不正アクセスの可能性があります。
  • サインインに失敗する回数が異常に多いため、ブルートフォース攻撃や認証に問題がある可能性があります。
  • さらなる調査が必要と思われる様々なアプリケーションURIへの異常なアクセス。
  • 特定のユーザーから、またはユーザー間でグローバルに、リモートアクセスVPNトンネルの数が異常に多い。

アプリケーションのアクセス異常:

  • 見知らぬユーザーによるアプリケーションへのアクセス。
  • ユーザーによるアプリケーション内の異なるセクションやスペースへの異常なアクセス。
  • データ流出や不正なデータ転送を示す可能性のある、ユーザーによる異常なデータのダウンロードやアップロード。
  • 以前は見られなかった場所からの異常なアクセスにより、セキュリティ上の懸念が生じる可能性があります。
  • ユーザーまたは特定のユーザーによる予期せぬ時間帯のアプリケーションへの異常なアクセス。
  • 以前には見られなかったISPからの異常なアクセス。
  • アプリケーション・リソースへのアクセス中に異常な HTTP リクエスト・ヘッダを検出します。
  • アプリケーションリソースにアクセスする際の異常なURI長の検出。
  • 悪意と関連する可能性のある、異なるユーザーエージェントの異常な使用。
  • HTTPレベルトランザクションの異常な待ち時間。

ネットワークの異常:インターネットもネットワークのひとつであることに注意してください。

  • 特定のネットワークにおける受信トラフィック量、送信トラフィック量、またはそれらの合計値の異常。
  • 異なるプロトコルのセットにおけるトラフィック量の異常。
  • ネットワーク内のリソースへの接続数の異常。
  • ネットワーク内のリソースに対するトランザクション数の異常。
  • 接続ごとのトランザクション数の異常。
  • ネットワーク上のリソースにアクセスする際の待ち時間の異常。
  • ネットワーク間のトラフィックの異常。

脅威の異常:

  • 悪意のあるエンティティとの通信を試みる可能性を示す、疑わしいIPアドレスへのセッション数の異常。
  • 不審なドメイン名へのセッション数の異常は、信頼できないドメインや危険なドメインとの接触を示す可能性があります。
  • ウェブトラフィックにおける潜在的な脅威を指摘する、疑わしいURLへのセッション数の異常。
  • マルウェアに感染したファイルのダウンロード/アップロード数の異常により、潜在的なサイバー攻撃を浮き彫りにします。
  • 不正または悪意のあるSaaSやクラウドサービスへのセッション数の異常。
  • 拒否されたセッション数の異常は、セキュリティ対策が有効であることを示す可能性があります。
  • セキュリティ上の脅威や不正行為の可能性を示唆する、拒否されたトランザクション数の異常。

UEBAを搭載した観測可能なプラットフォームは、上記のような検出を行う傾向があります。 監視すべき新たな異常を検出するために、未知のリスクに対して一般的なクラスタリングモデルを採用することができます。 このジェネリック・モデルには、複数の機能が組み込まれているはずです。 上記の異常のほとんどは、異常を正確に特定するためにベースラインデータを必要とするため、観測可能なプラットフォームは学習モードを有効にすることが極めて重要です。 過去X日間のデータに基づいて現在の異常をチェックするような、ダイナミックな学習が可能な場合もあります。 複数のモデルが必要になる可能性があることを考えると、観測可能性プラットフォームはスケーラブルである必要があり、複数のモデルを訓練し、対応させるための負荷に対応できる必要があります。

精度の高い脅威インテリジェンス

正確な行動脅威の異常検知は、脅威インテリジェンス・プロバイダーからの最新情報に依存しています。 SASEシステムは、トラフィックが発生した時点で最初の脅威検知を行いますが、その時点で収集された脅威インテリジェンスが古くなる可能性があります。 脅威インテリジェンスプロバイダーは、IPアドレス、ドメイン名、URL、ファイル、SaaSサービスのレピュテーションスコアを継続的に評価し、最新情報でフィードを更新します。 しかし、その結果、実際の脅威の出現と脅威インテリジェンス・フィードの更新との間に時間差が生じる可能性があります。 その結果、これらのフィードの更新前に発生した接続やトランザクションは、データプレーンがトラフィックの正しい分類を見落とすことにつながります。 この課題に対処するため、UEBAベースの観測可能性プラットフォームは、過去のアクセスをプロアクティブに継続的に調査し、新しい脅威インテリジェンスでデータを強化します。 これらのプラットフォームは、IT脅威ハンターチームにインテリジェンスの変化を通知し、脅威ハンターが潜在的な脅威をより深く掘り下げることができるようにします。

Unified SASEは、ログ、メトリクス、トレースを正確に集約します。

記述的、予測的、診断的、処方的など、あらゆるアナリティクスの包括性と精度は、観測可能なプラットフォームが受け取るログの品質に大きく依存します。 これこそが、ユニファイドSASEのソリューションが真に優れている点です。 従来の観測可能なプラットフォームは、ファイアウォール・アプライアンス、UTMアプライアンス、アプリケーション、アイデンティティ・サービス、Webアプリケーション・ファイアウォール、IDS/IPSシステム、DNSセキュリティ・システムなど、さまざまなベンダー・システムからのログやメトリクスに依存していました。 しかし、複数のベンダーのログを管理するには、いくつかの課題があります:

  • ログの情報不足。
  • 異なるログフォーマット/スキーマ。
  • ベンダーによるログメッセージとフォーマットの絶え間ない変更。
  • ネットワーク/セキュリティ・デバイスからのログを、特定のトラフィック・セッション、ユーザー、またはアプリケーションに一貫して関連付けることが困難。
  • 重複した情報を含む大量のログが、ログボムやログドロップを引き起こします。
  • ログの相関と大量のログの処理に必要な過剰な計算能力。

SASEのソリューションは、統合的なアプローチにより、これらの課題に効果的に対処します。 SASEは、複数のネットワークおよびネットワーク・セキュリティ機能を1つのサービスに統合し、包括的なソリューションとして提供します。 しかし、SASEソリューションは複数の方法で構築することができるため、慎重であることが重要です。 シングルベンダのSASEサービスは、1つのベンダが提供する統合されたサービスとして提供されますが、複数のコンポーネントベンダの個別のセキュリティおよびネットワークコンポーネントで構成される場合があります。 その結果、このような単一ベンダーのSASEソリューションからのログやメトリクスは、同様の課題に直面する可能性があります。 対照的に、ユニファイドSASEソリューションは、通常、シングルパスアーキテクチャとラン・トゥ・コンプリートアーキテクチャの原則に従った、統一された包括的なデータプレーンとして提供されます。 つまり、Unified SASEは、各セッションやトランザクションと、適用された関連セキュリティ機能を全体的に把握することができます。 その結果、Unified SASEソリューションは、各ファイル、トランザクション、またはセッションに対して、必要なすべての情報を含むログを1つだけ生成します。 例えば、Unified SASEのアクセスログには、以下のような包括的な詳細情報が含まれています:

  • 5タプル情報(送信元IP、宛先IP、プロトコル、送信元ポート、宛先ポート)
  • セッション/トランザクションの開始時刻と終了時刻
  • TLS接続の場合のドメイン名
  • HTTPトランザクションの場合のホストヘッダ値とURLパス
  • 接続が安全かどうか(TLS)
  • HTTPメソッド(GET/POST/DELETE/PUT)、URIクエリパラメータ、HTTPリクエスト&レスポンスヘッダ&値(主にX-で始まるヘッダ)。
  • ファイルハッシュ (1つのHTTPトランザクションで複数のファイルが送信される場合、複数のアクセスログが存在する可能性があります)
  • クライアントからサーバーに送信されたバイト数。
  • 適用されたアクセスポリシーとセキュリティポリシーは、ポリシーの詳細とトラフィックセッションからマッチした値とともに、ユーザークレーム(プリンシパル名、グループ、ロール、認証サービス、発行者)、IPレピュテーションカテゴリーとスコア、ドメインカテゴリーとレピュテーションスコア、URIカテゴリーとレピュテーションスコア、SaaSサービスカテゴリーとレピュテーションスコア、実行されたアクションなど。 複数のセキュリティエンジンが、どのようなセッションやトランザクションへのアクセスにも同意を提供することに注意することが重要です。 これらのセキュリティエンジンには、IPレピュテーションエンジン、ドメインレピュテーションエンジン、URLレピュテーションエンジン、SaaSレピュテーションエンジン、アクセス制御エンジン、マルウェア対策エンジン、IDPSエンジンなどがあります。 各セキュリティエンジンは、独自のポリシーセットを適用し、その結果に基づいて適切なアクションを実行します。 様々なエンジンが存在し、それぞれがポリシーテーブルを持ち、トラフィックまたはトラフィックエンリッチメントからマッチした値のユニークなセットを持つため、マッチしたポリシー名とポリシーのマッチにつながったパラメータを記録する必要があります。

アクセスログは、正確な分析を可能にし、観測可能なプラットフォームにおいて重要な役割を果たします。 しかし、他のログは、観測可能性プラットフォームにとって同様に重要であり、「統合されたSASE」ソリューションは、すぐにそれらを提供します。 これらのログは、包括的な洞察のためのプラットフォームの機能を強化するのに役立ちます。 Unified SASEソリューションが提供する重要なログには、以下のようなものがあります:

  • IDブローカー機能によるユーザーのサインインとサインアウトに関連するログ。
  • ユーザーのサインイン失敗に関するログで、潜在的なセキュリティ脅威の監視に役立ちます。
  • ユーザーのサインインに関連するログで、以下のような包括的なユーザークレーム情報を含みます:
    • ユーザーメールアドレス
    • 発行者(IDプロバイダ)
    • ユーザーが所属する複数のグループとロール
    • ユーザーを認証した認証サービス
    • 多要素認証(MFA)の適用の有無
    • ユーザーのサインイン元IP
    • ユーザー・アプリケーションが使用する認証プロトコル
    • ユーザーがサインインした場所

ユーザー認証関連のログやアクセスログを含めることで、行動異常を効果的に特定するための貴重なインプットを観測可能プラットフォームに提供することができます。 さらに、Unified SASEソリューションは、マルウェア、エクスプロイト、不審なアクティビティなどの脅威が検出されると、ログを提供します。 これらのログには、5タプル情報(送信元IP、宛先IP、プロトコル、送信元ポート、宛先ポート)、日時、および脅威検出時の既知のユーザークレーム情報が含まれます。 これにより、脅威が観測されたセッションやトランザクションとの関連付けが容易になり、インシデントレスポンスやミティゲーションに役立ちます。 ここではそれについて話しませんが、SASE システムのカーネル、プロセス、コンテナ、およびハードウェアに関連する他の多くのログは、診断分析に役立ちます。 ログを生成するだけでなく、Unified SASE ソリューションは、カウンタ、ゲージ、ヒストグラムなどの様々なメトリクスも提供します。 これらのメトリクスは、SASEアーキテクチャの様々なコンポーネントを可視化することにより、統計的な異常やトラブルシューティングを特定する上で非常に重要です。 全体として、アクセスログ、認証関連ログ、脅威ログ、そしてUnified SASEが提供する様々なタイプのメトリクスを含む診断ログなど、様々なタイプのログが、観察可能性プラットフォームが記述的・診断的分析だけでなく、行動・予測的分析を提供するのに役立ちます。

統合されたSASEと統合されたオブザーバビリティ。

これまで述べてきたように、Unified SASEは、エクスポートされたデータの豊富なセットで様々な分析ツールを可能にすることで、際立っています。 また、Unified SASEのソリューションは、先に述べたように、様々な分析、特に行動分析を含む包括的な観測可能性プラットフォームを包含すると認識しています。 初期の段階では、統合された観測可能性プラットフォームは主にSASEソリューションに限られており、エンドツーエンドの観測可能性は、Splunk、Datadog、Elastic、New Relic、およびエンドツーエンドの脅威XDRプラットフォームの観測可能性サービスに依存することが多くありました。 本質的に、Unified SASEは、独自の統合された観測可能なプラットフォームを組み込むと同時に、様々な外部の観測可能なツールに高品質のログとメトリクスを提供します。

統一されたSASEは、観測可能性を高める鍵です。

分散したワークフォース、マルチクラウド/エッジアプリケーションの展開、複数のSaaSサービスの広範な利用、拡大し続ける脅威ランドスケープ、マイクロサービスベースのアプリケーションアーキテクチャなどを特徴とする複雑な企業環境では、従来の監視および可視化ツールでは不十分です。 さまざまなネットワーキング、セキュリティ、およびアプリケーション・ソースからのログやメトリクスへの依存は、これらのツールが実用的な洞察や効率的な相関関係、根本原因の分析機能を提供する妨げになることがよくあります。 時代のニーズは “観測可能性”。 従来のアナリティクス・ベンダーの多くは、UEBAや関連する異常検知機能のような観測可能な機能で自社の製品を補強し始めています。 しかし、これらの分析ツールの有効性は、ログとメトリクスの質に大きく依存しています。 Unified SASEは、行動分析を含むあらゆるタイプの分析において、包括的で高品質なログを生成することに関連する課題を克服する可能性を秘めています。 統一されたアプローチと包括的なデータエクスポートを提供することで、Unified SASEは組織の観測能力を大幅に強化し、プロアクティブな脅威検知、正確な分析、より良い意思決定を促進します。 Unified SASE内の複数の分析ツールと観測可能な機能の統合は、現代の企業環境の複雑性に対処し、サイバーセキュリティの防御を強化するための強力なソリューションを提供します。

  • CTOインサイトブログ

    Aryaka CTO Insightsブログシリーズは、ネットワーク、セキュリティ、およびSASEのトピックに関するソートリーダーシップを提供します。
    Aryaka製品の仕様については、Aryakaデータシートを参照してください。