AI時代における重要インフラの保護：すべてはデータから始まる

重要な国家インフラ（CNI）とは、私たちの社会的機能に不可欠なシステムや資産を指します。多くの重要な機関や機能は、管理と効率性の観点から、信頼、ガバナンス、そして回復力に依存し、公共部門に集中化されています。

重要なインフラシステムは現代社会を支えています。各国政府は、重要インフラを、その機能停止が国家安全保障、経済安定、公衆衛生、または公共の安全に深刻な影響を与えるシステムと定義しています。

これには以下が含まれます。

• 電力網は家庭や病院に電力を供給します。

• 交通ネットワークは商取引と移動を可能にします。

• 金融システムは経済活動を支えます。

• 通信システムは緊急サービス、企業、市民のつながりを維持します。

• 医療インフラは公衆衛生を守ります。

これらの分野はすべて、重要なデータを生成する複雑なシステムを運用しており、構造化データと非構造化データ全体にわたって、統一された可視性と保護によって機密情報を保護するという共通のニーズを抱えています。これらのシステムが最高の状態で機能しなければ、業務は停止し、企業は収益を失い、住民は頼りにしているサービスを失います。

重要インフラの混乱は、単なる経済的損失にとどまらず、業務運営、企業の評判、機密性の高い市民データ、さらには公共の安全を脅かす可能性もあります。ここ数年、世界各地で発生した重要インフラへのインシデントは、セキュリティ侵害がもたらす破壊的な影響を如実に示しています。その核心にあるのが、侵害されたデータです。

重要インフラの保護は、地域を問わず、政府および民間企業にとって最優先事項です。急速に進化するAI主導のサイバー脅威の台頭に伴い、重要インフラはデータとサービスを保護する必要があり、そのためには運用状況の可視化と、現代の状況に合わせて進化できる強靭なサイバーセキュリティ機能が求められます。

重要なインフラ投資はしばしば保険とみなされます。これはつまり、何か問題が発生するまでは、その価値は理論上のものに過ぎないということです。ただ、セキュリティ対策にはコストがかかりますが、その価値を過小評価してはいけません。CNIには独自の投資戦略があり、コスト効率のさらなる向上を図る必要がありますが、その一方で、潜在的なセキュリティ侵害によるコストや、技術、研修、人材に継続的に必要な投資とのバランスを考慮しなければなりません。

結局のところ、組織がデジタル変革を推進していく上で、セキュリティは後回しにできるものではなく、業務のあらゆる新たな段階に組み込むべきものです。、同時に、公共部門や重要インフラ組織は、限られた予算でより多くのことを実現するというプレッシャーに直面しています。そのためには、統合による効率化、拡張性が高く費用対効果に優れたデータストレージ、そして複雑さを軽減しつつセキュリティ成果を向上させるデータ駆動型のセキュリティ運用に注力することが求められます。

公共機関では、組織内にセキュリティオペレーションセンター（SOC）を構築・保守することが財政的に困難な場合があり、その理由の一つは、専門人材の雇用が必要となるためです。このような状況は、政府機関のユースケースに特化したSOCaaS（SOC as a Service）を検討する絶好の機会となります。

AI対応のセキュリティ機能を活用するには、強固なデータ管理基盤が不可欠です。データメッシュアプローチは、共通のガバナンスとセキュリティ基準を維持しながら、データの所有権を分散させます。組織は、一元化された単一のデータプラットフォームに頼るのではなく、データを生成するシステムに最も近いチームが所有・管理するドメイン固有の「プロダクト」にグループ化できます。重要インフラ運営者は、これによりセキュリティと運用効率の両方を向上させることができます。データメッシュアプローチではツールの統合も可能になり、ツールの統合により、テクノロジーの無秩序な拡大、脆弱性、複数のセキュリティツールの保守コストを大幅に削減できます。

レジリエンスを念頭に置いたシステムを設計することで、インフラ運営者が進化する規制要件や新たな脅威に適応しつつ、重要なサービスを妨げずに済みます。

ゼロトラストアーキテクチャは暗黙の信頼を排除します。すべてのユーザー、デバイス、アプリケーションは、システムやデータにアクセスする前に、その身元と承認を継続的に検証する必要があります。多くの場合、権限はタスクを実行するために最低限必要なものに制限されています。重要なのは、絶えず変化する脅威環境の中でシステムが常に安全で更新されていることを保証する厳格なポリシーに従ってのみアクセスが許可されるということです。

重要インフラ運営者に、ゼロトラストはいくつかの利点を提供します。

• 可視性の向上：ゼロトラストのすべての柱にわたるデータを統合し、継続的な監視を実施することで、組織はユーザー、デバイス、IT、OT、IoT環境全体を包括的に把握し、異常な動作をより迅速に検知・調査できるようになります。

• 攻撃対象領域の縮小：厳格なIDとアクセス制御により、不正な侵入経路を制限します。

• 被害の軽減：マイクロセグメンテーションで侵害の範囲を狭い領域に限定することで、攻撃が発生した場合の被害を最小限に抑え、復旧コストを削減します。

内部ネットワークをデフォルトで信頼するのではなく、すべてのやり取りを検証することで、ゼロトラストは複雑なインフラシステムを外部からの攻撃者や内部者による脅威の両方から保護するのに役立ちます。データメッシュなどの統合的なデータアプローチは、セキュリティのそれぞれ柱にわたってデータを連携させ、環境全体にわたる包括的な可視性を実現することで、このセキュリティフレームワークを強化します。

最も高度な防御でさえ、すべての脅威を阻止することはできません。攻撃者は、自動検出ツールをバイパスしたり、未知の脆弱性を悪用したり、正当なシステムアクティビティの中に隠れたりする可能性があります。ここで、脅威ハンティングが極めて重要になってきます。

脅威ハンティングは、従来のセキュリティ防御を突破した可能性のあるサイバー脅威をアナリストが積極的に探す戦略です。脅威が害を及ぼす前に予測し、特定し、無力化することに重点が置かれています。侵入の兆候を継続的に探すことで、重要なインフラ組織は高度な脅威を早期に検知し、大規模な障害の可能性を減らすことができます。

しかし、インフラ環境が複雑化するにつれ、手動による監視と運用だけでは最新の脅威に対応できなくなってきています。セキュリティチームは、膨大な量のアラート、ログ、テレメトリデータに直面し、中核となるデータの問題が発生しています。情報の断片化は、可視性と相関関係を制限し、応答時間を遅らせ、アナリストの疲労を増大させます。

自動化と機械学習は、検出と対応を改善するための不可欠なツールです。AIを活用した分析は、膨大なデータセットをリアルタイムで処理し、人間のアナリストが見落とす可能性のあるパターンや異常を特定することができます。

セキュリティの自動化はインシデントレスポンスの効率化にもつながります。侵害されたデバイスの隔離、疑わしいネットワークトラフィックのブロック、認証情報の取り消しなどの自動化されたアクションは、数秒以内に脅威を封じ込め、インフラシステム全体への攻撃の広がりを制限します。これにより、セキュリティチームは、複雑なインシデントの調査、防御の強化、レジリエンス戦略の強化など、より価値の高いタスクに集中できます。

現代のセキュリティ運用において、この機能はさらに「エージェント型モデル」へと進化しています。このモデルでは、自律型エージェントが情報の取り込みから対応に至るまでの全ライフサイクルを処理し、アナリストは判断、検証、承認を担当します。これにより、個別のアラートではなく、信頼できる運用データに基づいて、より迅速で状況に応じた検出が可能になります。

Elastic Securityを活用すれば、重要インフラを担当する組織はセキュリティ対策の包括的なアップグレードを提供できます。Elasticのエージェント型セキュリティオペレーションプラットフォームは、取り込みから応答までのライフサイクル全体を処理でき、アナリストは判断、検証、承認を担当します。リスクを生み出す手作業で時間のかかるセキュリティプロセスを超越し、急速に変化するAI駆動の脅威に対応するAI対応の運用を重要インフラに採用できます。

このプラットフォームの一環として、Elasticは、以下のような重要インフラの回復力を高めるためのAI搭載セキュリティツールを提供しています。

• コンテキストエンジニアリング：AIが推論するシグナルを構造化・充実させることで、自動化された意思決定はすべて、保護対象の環境の運用上の現実に基づいて行われるようになります。

• Agent Builderとエージェントスキル ：脅威環境の変化に応じて進化する目的に合わせて構築された自律型ワークフローを作成するための設計画面とモジュール機能のライブラリ。

• Elastic Workflows：検出、調査、対応の全工程にわたってセキュリティ運用を管理するネイティブの自動化エンジン。重要なサービスにおけるインシデント発生時の対応を遅らせる手作業による引き継ぎを排除します。

• Elastic AI Agent：SOCに代わって多段階の調査と対応を行う自律型セキュリティオペレーターで、アナリスト不足や継続的な攻撃下でもセキュリティ対策を維持します。

• AI駆動のAttack Discovery：エンティティ、行動、攻撃経路間のアラートを自動的に関連付け、アナリストが最初に注目すべき場所を示し、最も重要な脅威に注意を集中できるようにします。

• Elastic AI Assistant：ライブSOCのコンテキストを活用し、調査の質問に回答し、修復手順を提案するインタラクティブなアナリストのパートナー。重要なインフラストラクチャを保護するヒューマン・オン・ザ・ループの意思決定を支援します。

さらに、Elasticはモデルにとらわれない大規模言語モデル（LLM）を可能にし、エアギャップ環境のオンプレミスを含め、あらゆる導入をサポートします。組織は、ベンダーロックインに陥ることなく、主権やデータレジデンシーの要件を満たすために、リージョン、クラウド、インフラストラクチャを横断して柔軟にデプロイすることができます。

Elasticを使用すれば、データの保存場所や形式を問わず、あらゆる種類のデータを継続的に監視できるため、異常を早期に検知し、迅速に対応することが可能になります。当社のAI機能は、専門チームだけでなく、より幅広いユーザーが利用できるように設計されており、複雑さやトレーニング時間を削減しながら、組織全体での使いやすさを向上させます。

AI時代の重要インフラの教訓は明白であり、信頼に基づくシステムでは、インフラは継続的かつ安全に運用されなければなりません。今日の混乱に備えつつ、明日を見据えた強靭なシステムに投資することこそが、不確実性を増すデジタル環境においても、日常生活に不可欠なサービスの信頼おける状態を維持することを保証する唯一の方法です。そのためには、すべてのデータを統一された方法で確認し、AI機能をすべてのデータに包括的に適用して、より多くの情報に基づいた意思決定をより迅速に行えるようにする必要があります。

Elastic Security が重要インフラシステムのセキュリティを支援する方法をご覧ください。