筆者がクラウドとサイバーセキュリティについて執筆してきた期間は、「可視化」がほぼすべての問題に対する答えだった時代を記憶できるほど長い。
何か問題が発生すると、前提はシンプルだった。十分なデータがないのだ。より多くのログを取得する。それらを一元化する。すべてを関連付ける。何が起きているかを見ることができれば、次に何をすべきかがわかる。
この考え方がSIEM(セキュリティ情報イベント管理)を生み出した。SIEMが不十分だったとき、我々はSOAR(セキュリティオーケストレーション自動化対応)を重ねた。理論上、この進化は理にかなっていた。実際には、より多くのダッシュボード、より多くのアラート、そしてセキュリティチームがほぼ制御できているという確信をもたらしただけだった。
活動を見ることと理解することの間のギャップは、最近オア・ショシャニ氏(Stream SecurityのCEO)との会話で、筆者にとってより鮮明になった。我々は同じ考えに何度も立ち戻った。可視化は重要だが、それは出発点に過ぎない。ショシャニ氏が言うように、「可視化はピラミッドの基盤の一部だ……しかし、基盤自体が堅固でなければ、その上に構築しようとするものはすべて最終的に崩壊する」。
この枠組みは筆者にとって理にかなっている。なぜなら、クラウドセキュリティが依然として永続的に反応的に感じられる理由を説明しているからだ。
可視化がゴールになったとき
セキュリティは何十年も可視化を追い求めてきた。そして明確にしておくと、見えないものは守れないというのは事実だ。しかし、どこかの時点で、可視化は基盤であることをやめ、目標になった。
SIEMはログを集約することで明確性を約束した。SOARは応答を自動化することで行動を約束した。どちらも一貫して提供しなかったのは文脈だった。何かが起きたことを知ることは、それが重要かどうかを知ることと同じではない。
ほとんどの組織は、理解なき自動化はリスクが高く、自動化なき理解はスケールしないことを発見した。そこで彼らは停滞した──人間を中間に残し、すでに彼らを追い越している膨大な量のテレメトリを手動で解釈させることになった。
クラウドセキュリティが筆者にとって意味をなさなくなった瞬間
筆者は初期の頃からクラウドとDevOpsを取材してきたが、何年も前に、我々のセキュリティの思考モデルがすでに崩壊していることに気づいた瞬間があった。
それはコンテナが主流になったときだった。
我々は数分間、あるいは数秒間しか存在しないかもしれないワークロードについて話し始めた。それらは数千、おそらく数百万にのぼる。起動し、仕事をして、消える。筆者は当時明白に思えた質問をしたことを覚えている。もはや存在しないものの脆弱性をどうやって修復するのか?そして、それが5分間しか存在しなかったとしたら、それは意味のある脅威の時間枠なのか?
今日に早送りすると、この課題はさらに激化している。クラウド環境は今や絶えず変化し、多くの場合、人間の直接的な関与なしに変化する。インフラストラクチャは自己スケールする。構成は自動的に変化する。AI駆動型エージェントは、生のログを見ているだけでは悪意のあるものと同一に見える正当な変更を行うことができる。
その時点で、セキュリティ目的でクラウドの「スナップショット」を撮るという考えはほとんど不条理になる。我々の会話中、ショシャニ氏が率直に述べたように、「今クラウドの完全な全体像を持っていたとしても、それはすでに間違っているだろう」。
クラウドはシステムではない──生きているものだ
これが、クラウドを生きて呼吸する有機体としての比喩が非常に強く共鳴する理由だ。
従来のインフラストラクチャは機械のように振る舞った。マッピングし、セキュリティを確保し、境界を防御できた。しかし、今日のクラウドは生物学により近い振る舞いをする。継続的に適応する。負荷、ポリシー、需要に自動的に応答する。AIが混在すると、そのペースはさらに加速する。
静的な前提──固定資産、予測可能な構成、人間のペースでの変化──に基づいて構築されたセキュリティモデルは、クラウド環境が実際にどのように動作するかとますます不整合になっている。
クラウドセキュリティが向かう先
この変化は、新しいクラウドセキュリティプラットフォームがどのように設計されているか、そしてセキュリティリーダーがそれらをどのように評価しているかに現れ始めている。
定期的なスキャンやイベント後のログ分析のみに依存するのではなく、一部のアプローチは、リアルタイムで存在するクラウド環境を継続的にモデル化することに焦点を当てており、変化を例外ではなく標準として扱っている。目標は異常を検出するだけでなく、すべての変化がより広いシステムにどのように適合するかを理解することだ。
Stream Securityは、この新たな考え方の一例だ。クラウド資産を棚卸しして確認すべき静的なオブジェクトとして扱うのではなく、そのアプローチはクラウドを動的なシステムとして観察することを中心としている──関係、行動、変化パターンが個々のイベントと同じくらい重要なシステムだ。
この視点は、大規模で複雑な環境を運用する実務者に共鳴する。「The Auto Club Groupでは、我々の規模のクラウド環境にとって、静的なセキュリティモデルは単に実行可能ではない」と、AAAのCISOであるゴパル・パディンジャルヴィーティル氏は説明する。「Stream Securityは、我々のクラウドを生きているシステムとして見ることを可能にした最初のプラットフォームであり、すべての変化がリアルタイムで反映された。そのレベルのリアルタイム可視化は、我々がCDRツールを評価する際にStreamを即座に際立たせたものだ」。
AIがクラウドセキュリティを壊したのではない──亀裂を露呈させた
機械学習は何年もセキュリティの一部だった。しかし、生成AIとエージェント型AIは、分析するだけでなく行動するため、方程式を変える。インフラストラクチャをプロビジョニングする。構成を変更する。機械速度でワークフローを実行する。
防御者は今や以下のような環境を保護している。
- 変化が絶え間ない
- 正当な行動が疑わしく見える可能性がある
- 疑わしい行動が正当に見える可能性がある
- そしてすべてが人間のレビューサイクルよりも速く起こる
より多くのアラートは役に立たない。より良いダッシュボードは助けにならない。レビューで問題を解決することはできない。
文脈は現代のクラウド防御における欠落層だ
起こる必要がある真の変化は、検査としてのセキュリティから理解としてのセキュリティへの移行だ。
ログは何が起きたかを教えてくれる。理解はそれが意味をなすかどうかを教えてくれる。
セキュリティチームはイベントだけでなく、文脈を必要としている。リソースがどのように相互に関連しているか、行動が時間とともにどのように進化するか、そして「正常」が先週ではなく今どのように見えるか。
これは従来の検出とは根本的に異なる課題だ。そして、レガシーセキュリティモデルを単に自動化するだけでは問題を解決しない理由だ。
壊れた前提に適用される自動化は、組織がより速く失敗することを可能にするだけだ。
これはツールのアップグレードではなく、リーダーシップの転換だ
組織は、変化を止めないものを防御することが何を意味するかを再考する必要がある。
クラウドはロックダウンするインフラストラクチャではない。継続的に観察し、解釈し、適応する有機体だ。
その世界におけるセキュリティは目的地ではない──状態だ。
この現実を受け入れる組織は、可視化を超えて理解へと進むだろう。そうでない組織は、ますます盲目に感じながらデータに溺れ続けるだろう。
