セキュリティオペレーションの成熟度ごとに見る取り組みや課題の違い
パロアルトネットワークスは2020年3月に「セキュリティオペレーションジャパンサーベイ2020」を実施した。調査対象は年間売上高500億円以上かつ従業員500名以上の国内民間企業におけるセキュリティオペレーション担当部門の意思決定者と現場担当者で、回答者は472名。調査結果を同社 チーフサイバーセキュリティストラテジスト 染谷 征良氏が発表した。
自社のセキュリティオペレーションの成熟度について、「高い」と自己評価しているのは全体の8.3%。このグループでは「自社の安全性は高い」や「適切な対応ができる自信はある」との回答が突出して高かった。
成熟度ごとに見ると、セキュリティオペレーションの取り組みの違いが浮き彫りになった。例えばセキュリティログ。ほぼどの企業もログを保存しているものの、「高い」方ほど「スレットハンティングを行うため」や「相関分析からインシデントを検知するため」とログを積極的に活用しようとしている。一方、成熟度が「低い」とログ取得の目的は監査など限られていた。
現場が抱える課題にも差が見られた。成熟度が「高い」ほうでは「一部人材のスキルに依存している」、「セキュリティ製品が複数あり煩雑である」、「セキュリティ製品からのアラートやログが多い」の回答が多かった。
人材はいるものの運用が属人化している、あるいはセキュリティ製品を多数導入しているものの運用負荷の高さやアラートの多さに疲弊していることがうかがえる。一方、成熟度が「低い」ほうでは、「担当する人材のスキルが不足している」、「担当する人材が不足している」など、人材不足で悩まされている。
成熟度が「高い」企業は属人化や運用負荷で課題を抱えているためか、セキュリティ運用の自動化や効率化のためのSOAR(Security Orchestration, Automation and Response)への関心度も高い。SOARが「導入済み」と答えたのは成熟度が「高い」グループでは48.7%、「やや高い」が9.7%、それ以外では約2%。パロアルトネットワークス チーフサイバーセキュリティストラテジスト 染谷 征良氏は「SOARは国内市場ではまだ黎明期」と話す。
なおSOARを「導入済み」と「導入検討中」と回答したなかからSOARの目的を聞くと、「インシデント対応関係者への通知」(76.2%)、「外部セキュリティ情報の収集・検索」(61.9%)、「セキュリティ製品への設定・ルールの適用」(57.1%)が高かった。
またセキュリティオペレーション自動化に関する課題では「どこまで自動化していいのか分からない」(45.8%)、「必要な作業フローが整備されていない」(40.9%)が挙げられた。染谷氏は「人がやるべきことと、テクノロジーにまかせることを切り分けていく必要があります」と指摘する。
こうした背景を受けて、染谷氏はセキュリティオペレーションの効率化や高度化に向けて、次の3段階で進めていくようにとアドバイスした。
まずはセキュリティオペレーションの効率化に向けて「業務の棚卸しとワークフローを整備」すること。定型的または反復的なものと、非定型なものを分けるということだ。
続いて人材不足や運用負荷の課題を解決するために「定型業務の自動化と優先業務への人的リソースを割り当てる」。定型業務を自動化することで人的リソースに余裕をもたせたうえで、人間は現状の運用の見直しやワークフロー整備といった業務に割り当てる。
最後に脅威やインシデントの検出精度を向上させていくために「セキュリティログと脅威インテリジェンスの有効活用」。ログを積極活用し、外部および内部の脅威インテリジェンスの活用でオペレーションをさらに高度化させていく。