今日の環境では、積極的なサイバーセキュリティは公共機関にとって極めて重要です。 多くの組織では、セキュリティ担当者が効果的な脅威の監視やインシデント対応に必要なログ・データに容易にアクセスできる場所がなかったり、サイロ化された部門に分散していたりします。 場合によっては、データは短期間の運用目的のみのために保管される場合もあります。 これは、効果的なセキュリティ管理能力を著しく制限し、重要なサイバー情報への安全なアクセスだけでなく、効��果的なログ保持の必要性を強調しています。
2021年、ホワイトハウスはOMB M-21-31覚書を発表し、連邦政府機関はサイバーインシデントの検出、調査、修復を支援するため、情報システムのログを複数年にわたって保持することを義務付けました。 これにより、政府機関が対処しなければならない複数の課題が生じます。 第一に、M-21-31で要求される長期間に渡る大量のデータの保存は、特に比較的高コストのオンプレミスや独自の商用のストレージで行う場合、コストがかかります。 さらに、一元化されたアクセスを提供するために大量のデータを単一のモノリシックなリポジトリに転送することも、コストがかかり、複数の環境でデータが重複してしまう可能性があります。 つまり、この覚書は、連邦政府組織に対するデータ管理とサイバーセキュリティの要求を大幅に増大させることになります。
DeloitteのM-21-31サイバーセキュリティ・ソリューションは、Databricks データインテリジェンスプラットフォーム上でハブ・アンド・スポーク・モデルを採用することで、これらの課題に対処しようとしています。 中央の分析用の「Lakehouse Hub」は、企業のクラウドやソースシステムである「Nodes」と連携し、ログデータの集中分析レイヤーを確立します。 データはノードの低コストのクラウドストレージに保持され、ハブからの集中クエリでアクセスできるため、クラウドの境界を越えて生データを転送する必要がありません。 このマルチノード�連携モデルにより、各ノードから中央ハブへデータを安全に共有できるため、包括的なログアクセスが可能になり、潜在的なサイバー脅威に効率的に対処することができます。 このアプローチにより、企業は変化するサイバー環境をより効果的にナビゲートしながら、コストのかかるデータの保存と排出を回避することができます。
M-21-31 コンプライアンス
M-21-31 コンプライアンスでは、サイバーセキュリティの運用をサポートするために、長期保存期間のシステムログの広範なリストを収集するだけでなく、包括的なデータの可視性を確保する必要があります。 M-21-31のログ・データ量の規模は、現在のツールボックスでは、多くの組織にとって技術的にも財政的にもサポート不可能となる可能性があります。
DeloitteのM-21-31サイバーセキュリティ・ソリューションは、低コストのクラウドストレージを活用することで、こうしたコストと規模の課題に対応し、独自のシステムで高価なデータインデックスを作成する必要性を低減します。 これは、ペタバイト規模にまで増大している大容量のテレメトリデータにとって特にインパクトがあります。
フェデレーテッド・モデルは、組織全体に分散するリモート・データへの集中アクセスと可視性を提供します。 セキュリティ・オペレーション・センター(SOC)のアナリストは、M-21-31のログの編集、検索、および高度な分析を実行する機会があり、重要な履歴データを必要とするサイバー調査に迅速に対応することができます。
クラウド間での効率的なデータ管理
ハブ・アンド・スポーク・アーキテクチャは、データの重複を排除し、データの出力転送を削減することで、マルチクラウド環境にまたがる大容量のログデータを管理します。 このフレームワークは、Databricksワークスペースの連合体であり、分散メダリオンデータパターンを活用し、データが未加工の状態から消費可能な状態になるにつれて、各ノードでデータ品質を段階的に向上させます。 ノードは可能な限りソースシステムの近く、またはその近くに配置されます。 生のログデータは、ノードで取り込まれ、処理され、中央ハブから照会できるようになります。 これにより、ソースログデータを1つのノードに保持することで、クラウドや地域をまたいだコストのかかるデータのイグレスを排除します。 ノードからハブへは、ハブによるフェデレーテッドクエリに対してキュレーションされた応答のみが転送されます。
強力な中央ガバナンス
適切なユーザーがログデータに適切にアクセスできるようにすることが重要です。 Databricksのガバナンスフレームワークを活用することで、ハブはロールベースのユーザープールとログデータセットのコレクションを関連付けるアクセス制御ルールを定義し、実施します。 より詳細なアクセス管理が必要な場合は、行/列レベルのパーミッションやデータマスキングのための動的ビュー関数を構築することができます。
モダンアナリティクスへのコンパクトガイド
統合、拡張、導入
サイバーレイクハウスは、組織の従業員にとって馴染みのある一般的なシステムと統合され、継続性を維持しながら既存のツールセットを補強し、導入を加速します。 これにより、Databricks データインテリジェンスプラットフォームの利点を活用しながら、追加のトレーニングを行う必要がなくなります。 M-21-31サイバーセキュリティ・ソリューションでは、次のようないくつかのユースケースが実施されています:
- BIツールのダッシュボードには、企業全体に分散されたログデータが集約されており、レイクハウスのハブから一元的にアクセスできます。
- SIEMツールのクエリはレイクハウスにプッシュダウンされ、SIEMデータの取り込みとインデックス作成を必要とせずに結果を返します。
- ノードで継続的に監視している間に検出されたアラートは、BIまたはSIEMツールのインターフェースにプッシュアップされます。
なぜDeloitteとDatabricksなのか
M-21-31 Cybersecurity Brickbuilder Solutionsは、Deloitteの深い業界専門知識とDatabricks データインテリジェンスプラットフォームを組み合わせたソリューションです。 Brickbuilder Solutionsでは、以下をお約束します:
- 信頼できるパートナー:DatabricksはDeloitteと提携し、お客様が重要な分析の課題を解決し、コストを削減し、可能な限り摩擦を減らして生産性を向上できるよう支援します。
- 信頼できるフレームワーク:デロイトのチームはDatabricks データインテリジェンスプラットフォームの認定を受けており、お客様の組織のサイバーセキュリティを実装し、最大のデータ、分析、AIのニーズに対応するために必要な専門知識を提供します。
- 価値の加速:Deloitteは、Databricks データインテリジェンスプラットフォームの潜在能力を迅速に最大限に引き出し、生産性を向上させてデータから価値を引き出せるように支援します。
M 21-31 Cybersecurity by Deloitteが利用可能に
Deloitteは2月29日に開催されるDatabricks Government Forumに参加します。 そこでM21-31サイバーセキュリティ・ソリューションの実例をご覧ください。