企業のセキュリティが失敗するのは、テクノロジーの欠如が原因であることは稀だ。失敗するのは、人間が不完全な情報で、あまりにも頻繁に、間違った種類の作業を過度に求められるからだ。現代の脅威環境は、我々が依然として防御に依存している運用モデルを超えて成長してしまった。
攻撃対象領域は流動的だ。エンドポイントは常に状態を変化させる。クラウドリソースは立ち上がっては消える。モバイルや制御技術は、従来のIT境界をはるかに超えてリスクを拡大する。攻撃者はこの現実を理解し、小さな弱点を連鎖させ、防御側が遅れをとるのを辛抱強く待ちながら、それを悪用する。
対照的に、防御側は依然として手作業でコンテキストを組み立て、アラートを検証し、行動しても安全なタイミングを判断することが期待されている。環境の速度と人間中心のワークフローとの間のこのギャップこそが、リスクが静かに蓄積される場所だ。
ツールの追加が機能しなくなった理由
長年にわたり、業界は規模に対してプロダクトを追加することで対応してきた。新しいカテゴリーはそれぞれ、より優れた可視性やより迅速な対応を約束した。しかし同時に追加されたのは、運用上の摩擦だった。より多くのコンソール、より多くのアラート、より多くの引き継ぎ、そしてプレッシャーの下で誰かがすべてをつなぎ合わせるという前提だ。
自動化は役立ったが、部分的にすぎなかった。ほとんどの自動化は依然として、プレイブックの定義、しきい値の調整、アクションの承認を人間に依存している。環境がより動的になるにつれ、これらのガードレールは増殖した。その結果、書面上は洗練されているように見えるが、重要な時には依然として動きが遅すぎるシステムとなった。
現在、AIの助けを借りて出現しているのは、責任の再バランスだ。機械は、継続的なデータ収集、相関関係の分析、反復的な実行により適している。人間は、意図の設定、トレードオフの理解、リスクが許容可能かどうかの判断により優れている。
目的地ではなく規律としての自律性
「自律的IT」はしばしば二者択一のスイッチとして捉えられる。オンかオフか、人間か機械か。実際には、自律性は段階的に獲得された場合にのみ機能する。信頼は、大胆な主張ではなく、一貫した成果を通じて構築される。
この視点は、Taniumの最高技術責任者であるマット・クイン氏との最近の会話で明確に示された。同氏は、業界の中核的な課題は、それを取り巻くツールほどには変化していないと指摘した。「今日のITとセキュリティを見ると、依然として非常に手作業が多く、実際には30年前に解決していた問題を今も解決しているのです」とクイン氏は語った。「戦術は変わったかもしれない、テクノロジーは変わったかもしれないが、問題は同じままです。そして、それらへの対処方法も大部分は同じままなのです」
言い換えれば、我々はセキュリティの表面積を近代化したが、規模に応じて意思決定と実行がどのように行われるかを根本的に近代化していないのだ。
リアルタイムのコンテキストは譲れない
ここ数年の厳しい教訓の1つは、AIと自動化は、それらが推論するデータと同程度にしか優れていないということだ。古いテレメトリーに基づいて意思決定を行うシステムは、リスクを軽減するのではなく、増幅する。
効果的な自律性には、エンドポイントの状態、構成のずれ、環境全体での露出に関するリアルタイムの理解が必要だ。その基盤がなければ、最も洗練されたAIでさえ、実行される前に時代遅れになる計画を生成する。
これはまた、ワークフロー統合がなぜそれほど重要なのかを説明している。実際に作業が行われるシステムの外部に存在するインテリジェンスは、結果を変えることはほとんどない。コンテキストは、チケット管理、インシデント対応、サービス管理プラットフォーム、つまり意思決定が既に行われている場所に表示される必要がある。
これがどのように形になっているかの例
現在、複数のベンダーがこれらのアイデアを運用化しようとしている。Taniumは、ツール中心からアウトカム中心のセキュリティへの移行がどのように展開されているかの一例だ。
Taniumは、自律性を既存のプロセスの代替として位置づけるのではなく、リアルタイムのエンドポイントインテリジェンスとエージェント型AIを使用して、確立されたワークフロー内での意思決定をサポートすることに焦点を当ててきた。重点は、システムを「自動運転」と宣言することよりも、組織が自動化をどこまで、どれだけ速く進めたいかを決定するのを支援することにある。
この柔軟性は意図的なものだ。クイン氏が説明したように、「自律的ITは旅です。『自律的』という言葉はここで大きな重みを持っており、それはあなたがどの程度関与したいか、どのようなルールを設定したいか、どのレベルのガバナンスを望むかについて選択をすることを意味します」
実際には、これは組織がシステムにアクションを推奨させ、それを手動で承認することから始める可能性があることを意味する。時間の経過とともに、信頼が高まるにつれ、同じアクションが定義された境界内で自動的に実行されるようになる。自律性は、信頼が高まるにつれてのみ拡大する。
TaniumがServiceNowのようなプラットフォームにリアルタイムのエンドポイントコンテキストを統合する取り組みは、より広範な業界の認識を反映している。自律性は、後付けではなく組み込まれた時に最もよく拡張する。ライブインテリジェンスをインシデントと修復のワークフローに直接取り込むことで、チームが作業方法を再学習することを強いることなく、対応サイクルを短縮する。
信頼こそが重要な真の指標
企業セキュリティの未来は、複雑さを排除したり、人間をループから取り除いたりすることではない。複雑さは永続的だ。真の問題は、組織が防御の責任を負う人々を疲弊させることなく、追いつくことができるかどうかだ。
適切に行われた自律性は、制御を取り除くのではない。努力を再分配するのだ。機械は、継続的な監視、相関関係の分析、実行という、自分たちが最も得意とすることを処理し、人間は判断、戦略、例外に集中する。
この移行は、単一のプロダクトリリースやAIのブレークスルーで到来するものではない。それは、一度に1つの自動化された意思決定を通じて構築された、蓄積された信頼を通じて到来する。セキュリティリーダーにとって、それは次の見出しを追いかけることと、実際に脅威環境に追いつくことができるシステムを静かに構築することとの違いだ。
