サイバーネットワーク分析：サイバー・ネットワーク・アナリティクスとは何か？

サイバーネットワーク分析は、ネットワーク、IT資産、アプリケーション、そしてチームメンバーを、日々押し寄せるサイバー脅威や攻撃から守るために必要なものです。

中小企業、企業組織、政府機関はすべてリスクにさらされており、サイバーセキュリティを優先すべきである。

大企業は従来、サイバーフィードやイベントを収集・集約するために複雑なテクノロジー（セキュリティ情報・イベント管理システムなど）を使用してきたが、これらはすべて、アイデンティティ管理、エンドポイント保護、ウイルス・マルウェア保護、ネットワークセキュリティに焦点を当てた特定のテクノロジーと統合している。

組織のネットワークの日々のパターンと健全性を理解するための核となるのが、ネットワーク・アナリティクスである。

サイバーネットワークアナリティクスとは？

‍

ネットワーク・アナリティクスとは、ネットワークのパターンと健全性を理解するために、ネットワーク・ユーザー、デバイス、ネットワークと相互作用するアプリケーションとともに、ネットワーク・トラフィックを継続的に監視するプロセスである。 

この継続的なプロセスは、通常のネットワーク動作を理解し、ネットワークの日、週、月、年のパターンを深く理解するために不可欠である。 

ネットワーク・アナリティクスは、ネットワークに接続しているユーザーの特定、デバイスとのインタラクション、ネットワーク・アクセス・ロケーション、共有するデータの種類など、包括的なコンテキストを提供します。

これらの情報はすべて、特定のネットワークの通常のトラフィック・パターンを理解するために不可欠である。ネットワークの異常や、ネットワーク上で活発に活動している潜在的な脅威を特定するには、このような通常のトラフィック・パターンの理解が必要です。 

言うは易く行うは難し、特にここ数年、ネットワークの境界線は大きさも形も変化している。

COVID-19は、多くの組織にリモートワークやハイブリッドワークの選択肢を認めさせた。このような働き方の変化は、結果として

• より大きなネットワーク構造
• より大きな表面積またはデジタルフットプリント
• ネットワークへのアクセスポイントがはるかに多い。

こうしたネットワークの大規模化によって攻撃対象が拡大し、組織はCOVID以前よりもはるかにサイバー攻撃に脆弱になっている。

なぜサイバーネットワーク分析が重要なのか？

ネットワーク・アナリティクスは、既存のネットワークの中核的な姿勢を理解する上で極めて重要である。  

複雑なネットワーク構成、さまざまなアプリケーション、従業員、請負業者、ゲストの作業場所が混在しているため、通常のネットワーク動作を追跡し理解する作業は非常に複雑です。 

組織の規模にかかわらず、ネットワーク・アナリティクスは24時間365日のプロセスであり、ITまたはサイバー・オペレーション・チームの中核機能です。  

ネットワークの監視と保護には多くの問題があるため、組織は通常、監視のために人間と高度なソフトウェアの組み合わせに依存している。

訓練された専門家の不足

ネットワークを監視するためにさまざまなシフトで働くことをいとわない熟練した専門家を見つけるのは難しい。  

‍

さらに、従業員がネットワークを監視している間、既知のアクティブなリスクがない場合は、追加のサイバー活動に参加することも求められる。  

必要とされるスキル、シフトスケジュールのばらつき、複雑な業務要件のため、サイバーオペレーションチームで働く熟練した人材の確保と維持は困難である。

その結果、大半の組織ではネットワーク・アナリティクス・ソフトウェアを利用してネットワーク・トラフィックを監視し、アラートとレポートを提供することで、人によるレビューと努力の集中を図っている。 

この種のソフトウェアの欠点は、正しくチューニングされていない場合、大量の誤報を発生させることだ。

このような誤ったアラートによって、チームは以前のタスクから素早く切り替えてアラートを評価しなければならなくなる。 アラートが誤ってトリガーされると、すでに多忙なサイバー・チームから貴重な時間が奪われてしまいます。

警報疲労

アラートといえば、サイバー専門家が直面するもう一つの問題は「アラート疲れ」である。

サイバー・オペレーション・センターは、大量のレポート、ログ、アラートを生成するテクノロジーに大きく依存している。

このようなレポート、ログ、アラートは、どんなに大規模なチームであっても殺到します。その結果、多くのアラートがミュートされ、サイバーアナリストによってレビューされることはありません。

これらのアラートのいくつかはありふれたものに見えるかもしれませんが、ネットワーク監視技術によってすべての脅威が正しくラベル付けされるわけではありません。アラートをミュートすると、サイバー脅威や脆弱性が数週間から数カ月にわたって検出されなくなる可能性があります。  

2020年のソーラーウィンズ・ハックでは、攻撃者は14カ月以上にわたって連邦政府を含む数千のソーラーウィンズ顧客のネットワーク、システム、データにアクセスしていた。 

SolarWindsの攻撃の分析の一環として、攻撃者は正規のネットワークトラフィックを模倣することで検知を回避し、訓練を受けたサイバーチームが使用する脅威検知手順を回避することができました。

サイバーネットワーク分析はどのように役立つのか？

サイバーネットワーク分析が組織をサポートする方法は主に2つある：

企業ネットワークの進化

企業がハイブリッドワークやリモートワークの方針を進化させ続ける中で、ネットワーク、デバイス、従業員を保護する方法を改善する必要がある。

1つのビルの外にある複数のオフィス、従業員の自宅、喫茶店、コワーキング・スペースなど、Wi-Fi信号のあるあらゆる場所にネットワークを押し広げることは、ネットワークに重大な脅威をもたらす。

さらに、従業員、請負業者、パートナー企業は、企業アプリケーションにアクセスするために、自分のデバイスをネットワークに持ち込むことができる。 

このような変化により、ネットワークの監視に必要な技術やプロセスはすぐに時代遅れになる。 

多くの組織は、社外の従業員やパートナーが企業資産に接続できるようにするために仮想プライベートネットワーク（VPN）を使用していたが、ソフトウェア定義境界（SDP）を使用するように進化した。  

Software Defined Perimeters（ソフトウェア・デファインド・ペリメーター）により、組織は、ユーザーとそのデバイスがネットワークにアクセスできるデバイスの種類、場所、時間帯を完全に制御することができる。  

SDPの運用の鍵を握るのは、ネットワークにアクセスするデバイスにインストールされるクライアントである。クライアントを使用することで、組織はセキュアな環境を維持し、ゼロトラストのアクセスパターンへの進化を開始できる。 

エンドポイントでソフトウェア・クライアントを利用することにより、組織はユーザー・プロファイルを作成し、アクセスが許可される前にユーザー・デバイスとユーザーが遵守しなければならない特定のハードウェア、地域、日時の要件を強制することができる。  

ユーザーまたはデバイスがSDPによって確立され、実施されるポリシー要件のいずれかを満たしていない場合、ユーザーまたはデバイスはネットワークにアクセスできなくなる。

交通パターン

最新のネットワーク・セキュリティ技術を使うもうひとつの大きなメリットは、以下のような豊富なデータを提供できることだ： 

• ネットワーク・ボリュームの新しい場所への変更
• 地理的位置の頻繁な変更
• ユーザーまたは場所の異常なボリューム
• 通常とは異なるポートやプロトコルを使用する大容量 

この追加データにより、組織はネットワークに積極的にアクセスしているデバイスやユーザーを監視できるようになり、ネットワークの健全性を理解する上で重要なネットワーク・トラフィック・パターンの詳細な把握がさらに可能になる。   

このようなネットワーク分析機能により、特定のユーザーやデバイスへのトラフィックや、正確なユーザー、デバイス、地理的な場所を特定することが容易になります。これらの新しいデータ属性はすべて、ネットワークの異常を継続的に監視する新しいネットワーク分析機能に含めることができます。

サイバーネットワーク分析のコスト

日々進化するサイバー脅威に対応するため、多くの組織がネットワーク・アナリティクスの機能を拡張する機能を開発している。

企業や政府機関は、既存のネットワーク上で高度な分析を実現するための新しい技術やテクノロジーを導入し続けなければならない。  

ネットワーク分析機能の取得、導入、運用にはコストがかかり、これは多くの組織にとって大きな問題である。 

既存のテクノロジー、プロセス、スタッフにすでに数百万ドルを投資しているところもあり、多くの場合、新しく革新的なテクノロジーを追加するのに苦労している。こうした苦戦の主な原因は、既存のサイバー予算と、AI/MLサイバー能力を提供できる高度なスキルを持つリソースへのアクセスが限られていることにある。

より良い前進のために

サイバー・ソリューションのコストが高いため、企業はネットワークをより迅速かつ簡単に監視する方法を必要としている。

単純な脅威や脆弱性を自動的に修復し、人間の操作を必要とするタイムリーで適切なアラートを提供できるソリューションが、これからの時代に求められている。

サイバーセキュリティとネットワークアナリティクスは、ルールやパターン、単純な分析から進化を続け、ネットワークトラフィックを常に監視し、学習するAI/MLソリューションをさらに取り入れる必要がある。 

‍

AI/MLディープラーニングモデルと大規模言語モデルの開発と運用を加速するフレームワークを提供するオープンソース技術の継続的な進歩により、組織はネットワークパターンとユーザーを迅速かつ安全に学習できるネットワークパターンを監視・学習する新しい機能を活用できる。 

最近の大規模言語モデル（LLM）の進歩により、モデルを学習させてネットワークに関する質問に答えることができるようになった。 

これらを組み合わせることで、組織のネットワーク、アプリケーション、ユーザーを継続的に保護するために、既存のサイバーチームやツールをサポートする高度な機能を提供することができる。  

加えて、これらの新しいテクノロジーは、リソースの少ないチームがサイバー脅威や潜在的な脆弱性をレビューし、処理することを可能にする！

ネットワーク分析のアップグレード

ウラップについて、またネットワーク・アナリティクスを進化させる方法について詳しくは、contact@ulap.coまでお問い合わせください。