データレイク、セキュリティ、イノベーション

0:00:00.7 マックス・ハヴィー: こんにちは、サイバー、データ、テクノロジーインフラストラクチャの世界に関するポッドキャストであるSecurity Visionariesの別のエディションへようこそ。これは、世界中のドメインを超えた専門家を集めています。 私はあなたのホスト、マックス・ハヴィーです。 そして今日は、Interpublic Group(IPG)のCISOであるTroy Wilkinson氏とともに、データレイクの世界に飛び込みます。 トロイ、ショーへようこそ。

0:00:21.5 トロイ・ウィルキンソン: マックスに感謝します。 ここにいられることを本当に嬉しく思います。

0:00:23.8 マックス・ハヴィー: よろしくお願いします。 では、ここから始めるために、データレイクの概念と、なぜそれが重要なのかを説明していただけますか? 現代のセキュリティの側面として。

0:00:34.2 トロイ・ウィルキンソン: はい、もちろんです。 少し一歩下がって、そもそもデータを収集する理由、私たちが感じたり見たり触れたりするすべてのもの、そしてテクノロジーには、そこから何らかのマシンログが生まれていることについて話すことが重要だと思います。 これらのイベントログの一部は、通常のログイン、ログアウトですが、その一部は非常に重要なセキュリティテレメトリです。 ですから、過去25年、30年にわたって私たちが行ってきたことは、セキュリティ運用の観点から何が重要か、収集する必要があるデータ、イベントやインシデントにとって重要なデータは何かを決定し、それらのインシデントやイベントをどのように結びつけることができるかの背後にあるロジックやデータサイエンスに深く掘り下げることです。 これは最も長い間、データの問題であり、私たちは長い間、データを分析から切り離すことで、このデータの次世代または次のフロンティアに足を踏み入れており、このデータを単一の場所、つまり私がレガシーSIMと呼んでいるものに配置するように求められてきました。 データを大規模なデータベースにパイプし、その上で分析を行い、すべてのインシデントから洞察を収集する場合、データレイク構造により、データをデータレイクの共通スキーマに配置できるため、そのデータを分析から切り離すことができます。 したがって、次のウィズバンAIソリューションが登場し、そのAIを適用したい場合です。

0:01:55.3 トロイ・ウィルキンソン:このデータセットは素晴らしいですね。これはスイッチの切り替えであり、データを新しいソリューションに移動する必要はなく、どこにも移植する必要はなく、新しい分析を適用するだけで、セキュリティリーダーやセキュアオペレーターは、データレイクへのセキュリティ運用や相関検索を柔軟に行うことができます。 ですから、その柔軟性、透明性、データの所有権、そしてそのデータをどのくらいの期間保持するかを実際に決定できることは、データレイクにとって非常に重要な意思決定基準であり、彼らのデータがセキュリティ運用業界をどのように変えるかということだと私は本当に感じています。

0:02:30.5 マックス・ハヴィー: ある意味では、組織が長年にわたって作成してきたすべてのデータのリポジトリとして機能し、AIモデルや分析など、必要な目的でそのデータを利用できるようになりましたが、基本的には、すべてを安全に保つための方法ですべてを封じ込めておくためのものですまぁ。

0:02:51.7 トロイ・ウィルキンソン: ええ、もちろんです、そしてコストについても触れたいのですが、データのコストが大幅に下がったことを考えると、クラウドにデータを保存することは今ではギガバイトあたりのペニーよりも少なくなり、より多くのデータを保存できるようになりました。以前は、SIMにどのデータを取り込んでいるのか、どのデータを相関させることができるのかを本当に認識する必要がありました。 そのため、制限があり、セキュリティリーダーとして、非常に膨大なデータソースを持ち込むのは費用がかかりすぎるため、持ち込むことはできないと判断するかもしれませんが、私は本当にそうしたかったのです。

0:03:17.7 トロイ・ウィルキンソン:そして今、データレイク構造により、それをはるかに低コストで導入し、これまで不可能だった相関検索に使用することができます。例えば、DNSログは通常、非常にノイズが多く、非常に珍しいため、多くのセキュアリーダーはログを持ち込まないのですが、インシデントが発生した場合や、ユーザーが特定のサイトに行って本当に問題に巻き込まれたかどうかを確認したい場合には、非常に貴重なものとなります。 そのため、そのデータを非常に安価なストレージであるデータレイクに保持することで、特にインシデント後のフォレンジック調査において、長期的かつ非常に詳細な調査に活用することができます。

0:03:51.5 マックス・ハヴィー: 全体として、安価なストレージを持ち、このデータをすべて保持できるようになったことで、最終的には、データを最大限に活用するための新しい機会が生まれ、より多くのストレージを持つことで、このデータのイノベーションがさらに進み、セキュリティやその他の分野の人々がこのデータを使用して実行できるよりエキサイティングなことにつながります。

0:04:08.7 トロイ・ウィルキンソン: もちろん、もう一つ言及すべきことは、このデータを長期にわたって保存できることで、セキュリティリーダーはさまざまな種類の分析を適用できるということです。 たとえば、今日では、AIが生成した検索とAIが生成した相関イベントが複数あり、すべてのデータソースからのテレメトリを大規模かつ迅速につなぎ合わせることができます。これは、これまで不可能でした。 さて、それは過去のSIMの約束でした、あなたのデータのすべてを一箇所に持って行くために、それのこのすべての派手な解釈をしましょう、しかし、私たちはただ費用のために大規模にストリートオペレーターの視点からそこに到達したことはなかったと思います、それを実行するのにかかった知識のために、そしてそれの維持のために、 私たちは長い間オンプレミスだったので、データセンターはサーバーだらけで、維持しなければならなかったのですが、その後、クラウド時代に移行し、SIMはクラウド上にあり、非常に複雑な分析を行うために必要な計算能力、データの分離、そして最も重要なこととして、 そのデータを共通のスキーマまたはオープンなサイバーセキュリティスキームのフレームワークに保持することで、すべてのログソースが同じスキーマ内にあり、ホスト名がホスト名でコンピューターであり、IPアドレスがIPアドレスである場合、それを変換したり、複数のインデックスやデータソースを調べて変換したりする必要はありません。

0:05:24.2 トロイ・ウィルキンソン: 言い換えれば、すべて同じ言語で行われ、大規模に、複数の異なる場所でデータに関する質問をすることができるので、私たちがよく言うように、悪いことをしている脅威アクターを見つけるのに本当に役立ち、インフラストラクチャ、サーバー、クラウドを横方向にエクスポートします。 これまで見落としていたかもしれないところを本当に結びつけることができます。

0:05:45.8 マックス・ハヴィー: そうですよ。 そこで、次に考えるのは、CISOとしてデータレイクの使用とデータレイクの保護に関して直面した課題にはどのようなものがあるかということです。

0:05:54.6 トロイ・ウィルキンソン: そうですね、課題はどのタイプのデータソースにも当てはまる傾向があり、データ保護を実施し、データの所有権とリネージを確保し、規制要件として適切な時間枠でデータを非推奨にしていることを確認する必要があります。 そのため、他のデータソースの場合と同じデータ保護の問題が残ります。

0:06:14.5 マックス・ハヴィー: もちろん、それと同じように、データレイクが悪意のある攻撃者や、そこに侵入しようとしたり、そのデータを汚染しようとする他の人々から保護するために、ますます重要な脅威対象になっているのはなぜでしょうか。

0:06:31.9 トロイ・ウィルキンソン:ええ、良い質問です。データの観点から見ると、脅威アクターは常にデータを探しており、ここ数年で脅威アクターの間で高まっているテーマとして、複数の大規模組織で見られる最近のスノーフレークインシデントは、脅威アクターが流出させる大規模なデータソースを探していることを示していると思います。 そのため、データ保護は非常に重要であり、データ保護と流出は脅威アクターのプレイブックの最重要課題であり、私たちは常にそれを保護することを目指しています。 脅威アクターは、企業のデータを取得することに非常に熱心で、それを非常に価値があると考えています。 以前は、サーバーを暗号化して企業を身代金を要求するだけのランサムウェア攻撃が見られましたが、今では実際にそのデータを盗み出しています。 つまり、二次データや三次データ、ランサムウェアのように、「お金を払わないと、データを一般に公開する」と言い、脅威アクターにとってデータは収益化され、脅威アクターは引き続き標的となる可能性があります。

0:07:24.6 マックス・ハヴィー: もちろん、企業や組織でギガリークのようなことが起きているのを見てきたと思いますが、任天堂は特に覚えていますが、エンターテインメント企業など、業界全体で大規模なデータ漏洩が何年にもわたって発生しており、興味深い点として、今では存在しなかったかもしれない15のデータが山積みになっていると思います。 20年前、今ではそれを保持できるという理由だけで。

0:07:49.2 トロイ・ウィルキンソン: データセットを見ると、ソニーのハッキングと映画情報の流出が見られます。 他の銀行業界では、顧客に関する情報を盗み出そうとしており、すべてのデータセットはユニークで保護が必要だと思いますが、ここで話しているセキュリティデータレイクについて考えると、セキュリティ運用の脅威アクターは、顧客が自分自身を守るために何をしているのかについて非常に大きな洞察を得ることができます。 つまり、バックアップ、データベース、サーバーに侵入する方法を見つけることができ、このセキュリティテレメトリは脅威アクターにとっても非常に価値があるため、データレイクの周囲により多くの防御レールを設置する必要があります。

0:08:29.4 マックス・ハヴィー: もちろん、それから、AIモデルなどのトレーニングに役立つものとしてデータレイクを使用するというアイデアについて話していることを知っています。 トレーニングやジェネレーティブAIなどのAIモデルにおいて、データのポイズニングという考え方は現実的なリスクであることは承知していますが、それはどのような問題なのか、また、データレイクに関して、それを防ぐためのどのような方法を考えればよいのでしょうか?

0:08:47.5 トロイ・ウィルキンソン: ですから、大規模な言語モデルや、私たちが自分自身に供給している人工知能のための他のタイプの基盤モデルを見ると、これはオンプレミスまたは独自のクラウドで構築し、維持しているモデルです。 このデータポイズニングオプションは、脅威アクターが利用するために存在することを理解することが本当に重要だと思います。 入力の検証が必要であり、基本的に入力を毒殺したり、流出させたりすることができないことを確認する必要があります。たとえラグアーキテクチャやAIモデルを共有する参照アーキテクチャを持っていても、入力レベルでデータポイズニングの一部が存在する可能性があり、ユーザーからの入力と交換との間に交換があるデータ流出もできます。基礎となる基礎モデルであるため、そのすべてのコンポーネントを保護することが非常に重要だと思います。

0:09:32.9 トロイ・ウィルキンソン: 現時点では、AIの保護、ファウンデーションモデルの保護、データポイズニングの保護と検出などのバイアスが見られ、そのバイアスは固有のバイアスである場合もあれば、未知のバイアスである場合もあります。モデルが大きなアルゴリズムに変わり、間違った道を進んでいることに気づかないこともあります。 セキュリティに関しては、データレイクとSIMの急上昇とセキュリティ運用に関しては、そこから少し長い道のりだと思いますが、セキュリティデータレイクの上にAIモデルを大規模に実装または導入していないため、かなり安全だと思いますが、舞台裏でそれを行っているベンダーがいます。 そのため、これらの基盤となるモデルを保護することは大きな課題となりますが、私たちにとっては、業界全体の実務家として、すべてのデータを中央のデータレイクに取り込み、それ Advanced Analytics を暗示できることは、依然としてマシンラーニングであり、古いタイプのセキュリティ相関検索の一部と考えています。 さて、データレイクの最も優れた点は、データを共通のスキーマに置き、そのような一元化された場所にデータを置くことで、分析を変更できることです。したがって、次のAIソリューションが登場した場合、たとえば今後12か月以内に、どこで。

0:10:44.9 トロイ・ウィルキンソン: セキュリティオペレーターは、その新しいAIをデータレイクに適用したいと言っていますが、そのスイッチを切り替えてデータを移動せずにそれを行うのは非常に簡単なので、柔軟性がありますが、データレイク上のそのFoundationモデルを保護するにはまだ到達していないと思います。

0:10:58.8 マックス・ハヴィー: もちろん、あなたがおっしゃっていたことに戻りますが、すべてのデータが同じ言語を話しているようなもので、そこにあるすべてのものを、セキュリティオペレーターなどを混乱させるような方法で解読する必要があるという考え方です。 そして、セキュリティやAIなど、あらゆる技術革新が急速に進んでいることを考えると、特に興味深いと思いますが、この時点では隔週で新しいソリューションが登場し、そのデータを調整し、それに応じて適用することができると感じています。 それは本当にエキサイティングで、本当に興味深いことだと思いますし、この先のイノベーションで何ができるかを物語っています。

0:11:33.2 トロイ・ウィルキンソン: もちろん、近い将来、AIにとって最もユニークな利点の1つは、セキュリティオペレーターが自然言語で記述するための複雑なクエリを翻訳できることだと思います。 セキュリティ運用チームは、データをクエリするための複雑なスクリプトやクエリを書くことに長けていると思いますが、次世代のセキュリティオペレーターのトレーニングは、彼らがデータに質問したり、これがどこにあるのかを教えてくれたり、この脆弱性がどこにあるのかを示したりして、通常の質問をすることができ、それをAIに複雑なクエリに変換させることができれば、はるかに容易になると思います。データレイクを非常に迅速に検索すると、より良い結果をより早く得るのに役立ちます。 また、データレイクは、このデータを長期間保持する力を与えてくれると思います。これにより、侵害が発生した場合や、企業が侵害を受けた場合でも、振り返って、以前は選択できなかったテレメトリーをつなぎ合わせることができます。

0:12:25.6 トロイ・ウィルキンソン: 例えば、昨年のIBM Ponemon Instituteでは、侵害の平均検出期間は約180日で、企業が脅威アクターが自社の環境にいることに気づくまでには6か月かかるため、ファイアウォール、エンドポイントの検出と対応、アンチウイルスからの完全なテレメトリーを6か月保持していなければ、 脅威アクターがどのように侵入し、このアクセスの開始時に何をしたのかというストーリーをまとめるために、これらの重要なデータコンポーネントの一部が欠落することになりますが、データレイクを使用すると、そのデータを非常に低コストで長期間保存できるため、エントリの瞬間から何が起こったのかを正確に調査に使用することができます今日までずっと。

0:13:06.3 マックス・ハヴィー: また、同じように考えて、不適切に保護されたデータレイクの結果として報告された重大なセキュリティインシデントはありましたか、もしそうなら、この種のインシデントから学べる大きな教訓はありますか?

0:13:19.6 トロイ・ウィルキンソン: ええ、最近のSnowflakeの問題は良い例だと思います。 これは、お客様がさまざまな理由で使用している大規模なデータベースデータレイクであり、今年はスノーフレークに関連する最も有名なインシデントの1つであるTicketmasterを使用しています。これは、適切なサイバーハイジーンの使用方法の良い例であり、すべてのアカウントを多要素認証の背後に置き、それらのサービスアカウントが保護されていることを確認するための適切なアプリケーションファイアウォールを用意すると信じています。 ですから、データやデータレイクにアクセスするためのベストプラクティスが非常に重要であり、それを作り上げ、成功の鍵として適切なサイバーハイジーンを持つことができると思います。

0:13:57.7 マックス・ハヴィー: もちろん、プレーンテキストのパスワードがある状況や、このボリュームで機密性の高いデータを扱っているときに、周りに横たわってはいけないものが横たわっているような状況は避けたいものです。

0:14:08.3 トロイ・ウィルキンソン: そうですよ。

0:14:09.1 マックス・ハヴィー:この辺りに連れて行ってください。広範なサイバーハイジーンだけでなく、データレイクの保護に関してCISOやその他のセキュリティ実務家に推奨される戦略やアドバイスは何ですか?

0:14:24.8 トロイ・ウィルキンソン:ええ、データレイクの保護の観点からは、特定の会社にとって何が正しいかを決定する必要があると思います。これをオンプレミスで実行したり、クラウドで実行したり、通常ここで行うのと同じ保護をすべてここで適用します。したがって、初期アクセス、多要素認証、特権アクセスマネージャーを使用した管理者の資格情報です。 これらはすべて、他のSoftware as a Serviceや、価値の高いデータや重要なデータを扱うオンプレミスアプリケーションと同じタイプの保護です。しかし、最も重要なことは、データレイクは、セキュリティ運用、つまり相関検索の未来をどのように変えるかを決定しようとしている人々にとって、優れたオプションであると考えています。 業界ではSIMにとって適切な時期であり、この次世代のデータレイクが出現するのにふさわしい時期だと思います。 市場にはたくさんのベンダーがいますので、名前を挙げたくはありませんが、データレイクのジャンルに参入しているベンダーはたくさんあり、その共通のスキーマがあれば、必要に応じてデータを移植することができ、データをより長く維持することができ、迅速かつ大規模に相関関係を構築することができます。 これは、セキュリティオペレーションセンターで非常に重要です。

0:15:24.8 マックス・ハヴィー: そうですよ。 そして、すべてをここに持ち帰るために、トロイさん、セキュリティやデータレイクなど、この種のもので何が達成できるのか、将来について最もワクワクすることは何ですか? 未来を見据えたこの種のイノベーションについて、最もワクワクすることは何ですか?

0:15:36.8 トロイ・ウィルキンソン: ええ、ここには2つのことがあると思います。 1つ目は、さまざまな理由でこれまで取り込んでいなかったテレメトリやセキュリティデータをより多く取り込むことができ、それを共通のスキーマに組み込んで Advanced Analyticsを実行できるようにすることです。 それが1つ目は、データレイクやAIの出現、そこで適用している分析の一部により、ここで大規模に能力を高めていることを明確に示していますが、2つ目はコストです。データのコストを削減できることは、より多くのデータを取り込み、保存することで、より広範なデータセットでこの相関関係を行うことができるようになることです。 これは、クラウドトレイルログ、フローログ、DNSログなど、従来は一定期間収集または保存していなかった膨大な量の非常にノイズの多いデータソースについて考えると、非常に重要なことですが、今では実際に保存して相関検索を行うことができます。

0:16:27.7 トロイ・ウィルキンソン: 企業がこの種のデータを保存し、長期にわたって維持する理由は、悪者をより早く見つけるため、つまり、あなたの会社をより早く利用しようとする脅威アクターを見つけるためであり、データレイクは、より大きなデータセットとスピード、そして大規模に Advanced Analytics を行う能力を持つことで、それを本当に力強くすると信じています。 何度も言っていますが、私はこの言葉が好きですが、これを大規模に行い、実際にこのデータをより迅速に取り込むことができれば、セキュリティオペレーターはより迅速に行動し、悪者をより迅速に阻止し、システムからより早く脱出できるようになります。 ですから、脅威アクターは常に進化しており、私たちは彼らに追いつく必要があります。

0:17:09.0 マックス・ハヴィー: もちろん、トロイさん、ここでの質問はこれで終わりだと思いますので、本日はご参加いただきありがとうございます。 これは興味深い会話であり、データレイクについて、そしてこの世界で革新を続ける中で将来を見据えて何に興奮すべきかについて、ここで多くのことを学んだと思います。

0:17:23.4 トロイ・ウィルキンソン: もちろん、マックス、お招きいただきありがとうございます。 そして、次回もお楽しみに。

0:17:26.1 マックス・ハヴィー: はい、もちろんです。 そして、あなたは Security Visionaries ポッドキャストを聞いています。 私はあなたのホスト、マックス・ハヴィーであり、このエピソードを楽しんだ場合、友人と共有し、お気に入りのポッドキャストプラットフォームでセキュリティビジョナリーを購読すると、エピソードのバックカタログを聴き、隔週でドロップされる新しいエピソードに目を光らせることができます。 私または私の共同ホストである素晴らしいエミリー・ウェアマスがホストを務めました。 それでは、次のエピソードでお会いしましょう。