「家中の窓に鍵をかけた。でも、今この瞬間、押し入れの中に誰か潜んでいないと言い切れるか?」
IDを固め、ネットワークを分割した主人公ディラン。
しかし、彼の不安は消えない。
「もし、正当なIDを持った社員が、悪意を持ってデータを盗み出そうとしたら?」
「もし、設定ミスで裏口が開いていたら?」
第5回は、ゼロトラストの最後のピースであり、終わりのない日常業務、「運用・監視(Monitoring)」についてだ。
これは、高額なSOCサービスを契約する話ではない。「何を見るべきか」を知る話だ。
この記事は『Project Zero Trust』特集の一部です。全記事一覧はこちら↓
Scenario:ログの洪水と「沈黙の音」
ディランは「念のため」すべてのサーバーとPCのログを取り始めた。
結果、1日に数億行ものログが生成され、肝心な脅威情報はその「ノイズ」の中に埋もれてしまった。
SIEM(ログ分析基盤)のアラートは鳴り止まず、担当者は「オオカミ少年」状態のアラートを無視するようになる(Alert Fatigue)。
その裏で、攻撃者は「アラートが鳴らない正規のコマンド」を使って、静かにデータをコピーしていた。
これが、多くの企業が陥る「見ているつもりで見えていない」罠だ。
Insight:草むらではなく「宝石」を見張れ
本書の第7章「Zero Trust SOC」で語られる鉄則はシンプルだ。
「ネットワーク全体(草むら)を監視するな。プロテクト・サーフェス(宝石)に出入りする通信だけを監視せよ」
ゼロトラスト環境では、守るべきデータ(Crown Jewels)の場所は特定されている。
ならば、見るべきログは以下の3つだけでいい。
「全社員のWeb閲覧履歴」なんて見る必要はない。
しかし、「経理部のサーバーから、深夜2時に、中国のIPアドレスへ向けて大量の通信が発生した」という事象は、即座に検知できなければならない。
ZTR Solution:自動化(SOAR)という名の相棒
中堅企業の情シスに、24時間365日の監視は不可能だ。
だからこそ、ディランは自動化(SOAR)を取り入れる。
「人が判断する」時間を極限まで減らし、「明らかに黒なものは機械に止めさせる」。これが、少人数で回すための唯一の解だ。
Action:今週のタスク
明日出社したら、SIEM(またはMicrosoft Sentinelなどのログ基盤)で、以下の「3つのダッシュボード」を作ってみよう。
次回予告:
覚醒し、設計し、実装し、監視体制も整えた。
プロジェクトは成功した……かに見えた。
しかし、半年後、ディランは最大の危機に直面する。
それはシステムの問題ではなく、「人の心」の緩み(Culture)」だった。
👉 Vol.6 【文化編】(最終回)「ゼロトラストは『終わらないプロジェクト』」 に続く。
👉『Project Zero Trust』特集トップへ戻る
この連載の元となった書籍『Project Zero Trust』は、技術書とは思えないほどドラマチックな小説です。 詳しい内容はこちらの書評記事で紹介しています。
