注目集まるセキュリティ運用の自動化
近年、標的型攻撃などのサイバー脅威が巧妙化し、セキュリティ運用の負荷が増しています。担当者に求められるスキルも高度化し、体力面、精神面ともに、限界に近づいているのが現状です。
その解決策の一つとして、Security Orchestration and Automated Response(以下、SOAR)によるセキュリティ運用の自動化が注目されています。SOARはさまざまなセキュリティ製品と連携するセキュリティ運用プラットフォームです。SOARの導入で、企業は「運用自動化」「インシデント対応のスピードアップ」「スキル不足の解消」など多くのメリットを得られます。
本記事では、さまざまなメリットの中でも特に「運用自動化」にフォーカスしています。セキュリティ運用の負担感にお悩みの担当者の方や、疲弊する運用の現場に課題意識をお持ちの経営層・マネージャの方に、お薦めの内容となります。
第1章 セキュリティ運用の現状と課題
セキュリティ運用の現状 ─ 運用がつらくなってきた─
最近、セキュリティ担当者から「運用がつらくなってきた」という声を頻繁に耳にします。
「そもそもの作業量が多い」「休日・夜間作業が多い」「人手不足で負荷が集中している」といった体力面から、「責任が重い」「いつ呼び出されるかわからず、緊張感が抜けない」「何も起こらなくて当たり前と思われてしまい、大変な割には評価されない」といった精神面まで、現場には重い負担がかかっています。
では、セキュリティ運用の現場では具体的にどのような負担があるのでしょうか。現場の担当者から聞こえてくるのは、次のような厳しい現状です。
分析対象の増加
サイバー攻撃は日々巧妙化し、セキュリティの脅威は高度化の一途をたどっています。それにともない、監視するべきログやアラートの量が飛躍的に増加しています。
最近の運用監視製品は、インシデントかどうか判断できないグレーな脅威でも、積極的にアラートを発行するようになりました。多数のアラートが発生し、実際にインシデントにつながるかどうかは、担当者が逐一判断しなければなりません。セキュリティを確保するためにはやむを得ないものの、作業量の増加の一因となっています。
解決までの手間
多様な脅威に備えるため、企業に導入されるセキュリティ製品の種類や数が増えています。管理方法や操作方法が多岐にわたり、手順も複雑化して、セキュリティ担当者には高度なスキルが求められています。
スキルの陳腐化も速く、次々に新しい知識を習得しなければなりません。限られたセキュリティ人材に作業が集中し、企業は常に人材不足に悩んでいます。休日・夜間の作業や、管轄部門との調整も、担当者の負担となっています。
経営層とのギャップ
セキュリティ運用について、担当者と経営層の間で、認識にギャップがある企業も多いようです。「現場の負荷が増えていることが理解されない」「働き方改革で労働時間が減ったが、人員が増えない」「業務の効率化でカバーしてほしいと言われる」といった声をよく聞きます。上層部がセキュリティを軽視しており、「インシデント対応の重要性をわかってもらえない」と悩んでいる現場もあるようです。
セキュリティ運用における課題
こうした現場担当者の声から、今後のセキュリティ運用を取り巻く課題を考察すると、以下のようにまとめることができます。
分析対象がますます増加
現在の攻撃者優位の状況は今後も続きます。セキュリティ脅威の高度化や巧妙化に対抗するために、分析するべきログの量はますます増えていきます。
各種セキュリティ製品から積極的にアラートが発行されるのは、脅威を早期に検知するためです。余計なフィルタリングは検知精度の低下を招きます。チェックするべきアラートの量が減る見込みはありません。
解決までに手間がかかる傾向が継続
多種多様なセキュリティ製品は、それぞれに機能があり、減らすことは困難です。人材育成はすぐには進まないため、高いスキルを持つ一部の人材に、業務が集中する傾向が続くでしょう。
また、業務への影響を考えれば、休日・夜間作業は不可避です。管轄部門との調整に手間がかかる状況も、劇的な改善は望めません。
企業戦略としてのセキュリティ投資
近年のサイバー攻撃は、「金銭の窃取」や「組織活動の妨害」などを目的に実行され、被害の深刻化が顕著です。企業活動にIT利用が必須になっている現代において、情報セキュリティ対策は、経営の課題として戦略的に取り組むべきものです。業務の効率化はもちろん重要ですが、現場の努力だけでは対処しきれません。適切なセキュリティ投資が不可欠です。
「SOARによる運用自動化」に注目
こうした状況の解決策として注目を集めているのが、セキュリティ運用の自動化を実現するプラットフォーム「SOAR」です。
海外では数年前から導入が進んでおり、日本でも今後、急速に普及の拡大が見込まれます。以降では、「SOAR」の機能や、導入のメリットを、詳しくご紹介します。
第2章 SOARとは?これからのセキュリティ運用に不可欠な理由
SOARとは?
「SOAR」とは、企業のセキュリティ運用を自動化して対応を行う、セキュリティ運用プラットフォームです。さまざまなセキュリティ製品とAPIで連携し、「アラート発生時の調査」「全体像の把握と判断」「インシデント対応」といった一連の運用プロセスの基盤となります。
SOARの基本機能
一般的に、SOAR製品は、下記の機能を持っています。
ケースマネジメント機能
アラートやイベントの調査後に、ケースの作成、各ケースの担当割り当てを実施します。インシデントの発生状況や対応履歴を記録し、インシデント発生から復旧までのプロセスを円滑に進めることを目的とします。
コラボレーション機能
アラートやイベントの調査結果やケースの対応内容について、単一の製品内にて関係者間の情報共有を可能にします。内臓のチャット機能やケースへのコメント追加を利用してミスコミュニケーションなく、速やかに情報交換することを理想とします。
ダッシュボード機能
エンドユーザ様のご要望に応じて、アラートの発生状況、インシデントの種類、危険度、各ケースの対応状況などの指標を柔軟に描画することを可能とします。チーム全体の運用状況やパフォーマンスを可視化することもできます。
オーケストレーション機能
各製品が提供しているAPI経由で連携をする事で、製品間を繋いでそれぞれが持つ機能を最大化させることが可能となります。SOAR製品を選択するにあたり、定義済みのプラグインを多く所有している製品が望ましいです。
オートメーション機能
事前に定義した自動化ポリシーに基づいてプレイブック(条件+アクションの組み合わせ)を設計し、条件に応じたアクションを自動的に実行します。運用の中で発生する様々なシーン(時間がかかっている作業、負担が大きい作業、単純な作業)を想定し、ポリシーを定めることがポイントとなります。
インテリジェンス機能
攻撃者の組織情報、攻撃目的、攻撃手法、ターゲットなどの脅威インテリジェンスを備えていることで、アラート発生時にアラートと脅威インテリジェンスが自動的に紐づけられ、インシデントの緊急性や影響範囲の判断、意思決定に活用できます。
第3章 「セキュリティ運用自動化」をかなえるSOAR 導入の進め方
SOARは、これらの機能を統合的に活用し、従来は人が行っていたセキュリティ運用を自律的に実行することで、人にしか判断できない重要な業務にフォーカス出来る環境を作ることを目的とします。
ダウンロード資料では「SOAR導入による効果」や「『セキュリティの運用自動化』をかなえるSOAR導入の進め方」などの詳細が記載されています。続きを読みたい方はこちらのページからダウンロード可能な『【ホワイトペーパー】セキュリティ自動化で運用がラクになる!成功するSOAR導入の進め方』をご覧ください。
