日経 xTECH Special 日経 xTECH 日経 xTECH Special

xTECH EXPO 2019レビュー

「クールな」セキュリティ対策への変革とは

日本IBM

インシデント対応を自動化し
先手を打つセキュリティ運用に貢献

インシデント対応は、組織のセキュリティを守る最前線の業務である。しかし、現場は日々の煩雑な作業に忙殺され、手一杯の状態だ。反復の単純作業を自動化し、貴重な人材を高度な業務にシフトすれば、組織も成熟化する。その実現に向けた課題と対策を製造・流通・公共の顧客にコンサルティング・サービスを行う日本IBMの山下慶子氏が解説する。

煩雑なインシデント対応は
自動化で“クールな”業務になる

山下 慶子 氏
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&SI
アソシエイト パートナー
CISSP、CISA、CISM
山下 慶子

 標的型攻撃やランサムウエアによる被害が後を絶たない。サイバー攻撃の兆候をいち早く検知し、適切に対処する「インシデント対応」は、組織を守る上で非常に重要な業務である。

 しかし、その業務の多くは人任せ。セキュリティ担当者の“頑張り”に頼っている。その結果、様々な課題が露呈する。日本IBMの山下慶子氏は、「セキュリティチームの担当者間で情報が共有されていないと、いま何が起こっているのかがわからない。また、進捗が可視化されていないと、誰が、何を、どこまでやったかもわからない。ナレッジはあってもそれを活用することが難しい」と指摘する。

 対応人員も限られているため、スキルの高い一部の担当者に作業が集中する。次々発生するインシデントに振り回されると、人材の育成も進まない。

 大きな組織になると、軽微なものも含めると日に何件、何十件ものインシデントが上がる。「次々押し寄せる業務に忙殺されているのが現状。後手の対応でモチベーションは上がらず、現場は疲弊する。そんな悪循環に陥っているところも少なくありません」と山下氏は語る。だからと言って、チームや人に問題があるわけではない。「セキュリティチームはサイバー攻撃のリスクから組織を守るため毎日忙しく立ち回っています。人に依存する業務そのものが問題。まず既存プロセスを見直し、自動化できる業務とそれが難しい業務の整理が重要」と山下氏は話す。例えば、相関分析やマルウエア感染端末の隔離判断などは自動化が難しい。しかし、担当者間の情報共有、進捗の可視化、インシデント優先順位付け、対応の属人化脱出など自動化できる領域も多い。「自動化できる業務は自動化を進めることで、インシデント対応はもっとクールになる」と山下氏は主張する。

IBM Resilient SOARの
3つの特徴とそのメリット

 インシデント対応の自動化を実現するソリューションとなるのが「IBM Resilient SOAR」である。セキュリティ運用の統合化と自動化を実現するインシデント対応プラットフォームだ。その特徴は大きく3つある。1つめは、連携・統合管理性に優れていること。「多様な監視デバイスやセキュリティ製品との連携に対応し、そこから上がってくるインシデントを一元的に管理できるのです」と山下氏は説明する。既存資産を有効活用できるとともに、新たなに追加導入した監視デバイスやセキュリティ製品の機能もフルに引き出せる。

 2つめは、自動化の促進だ。プレイブック(運用フロー)を作成することにより、類型化された対応を自動で実施する。「例えば、ある端末にマルウエア感染の可能性があるというセキュリティアラートが上がった場合、インシデントチケットの発行、端末のユーザーへの危険性の通知、セキュリティチーム内の情報共有などを自動化することが可能です」(山下氏)。

 調査の結果、重大インシデントだった場合は、端末やネットワークの隔離が必要になる。この作業は業務への影響が大きいため、通常は人が判断・実行するが、ポリシーを決めておけば、プレイブックに沿って端末やネットワークの隔離を自動化することもできるという。そして3つめが、高度なタスク管理機能だ。類型化された対応タスクの情報をすべて記録し、次に必要となるタスクへ連携することができる。「1つのタスクが完了した後、次にどのタスクを実行するかを確実に把握できるため、対応漏れやミスの撲滅につながります」と山下氏は述べる。

IBM Resilient SOARの全体イメージ
「人」「プロセス」「テクノロジー」を連携させ、セキュリティ運用のためのハブとなる
IBM Resilient SOARの全体イメージ
[画像のクリックで拡大表示]

自動化のその先に挑むことで
真のブレークスルーが生まれる

 3つの特徴の中で、大きな強みとなっているのがプレイブックである。プレイブックは、インシデント対応フローの各タスクで構成される集合体。その内容はインシデント状況に応じて、ダイナミックに変更されていく。「マルウエア感染時に、当初は想定していなかった情報漏えいが発覚したとしても、インシデント対応に必要なタスクが動的に割り当てられ、それがプレイブックに反映されます」(山下氏)。

 しかも、攻撃元のURLが同じものなど同類のインシデントは1つのタスクフローに集約される。対応に抜け・漏れがなくなるだけでなく、対応作業を効率化し、より迅速かつ確実な対処が可能になる。

 わかりやすい分析ダッシュボードも強みの1つだ。ダイナミックに変化するプレイブックの内容、インシデントの対応状況は分析ダッシュボード上にすべて可視化される。対応状況はチケットをクローズするまでの残りタスクをもとに数値化される。「誰が、どのインシデントの対応にあたり、どこまで進んでいるのか。チーム全体の進捗率も一目で把握できます。この情報を活用すれば、適材適所の人員配備が可能になるでしょう」と山下氏は話す。

IBM Resilient SOARの分析ダッシュボード
インシデントの発生数やその対応状況をグラフや表でわかりやすく表示する
IBM Resilient SOARの分析ダッシュボード
[画像のクリックで拡大表示]

 このようにIBM Resilient SOARを活用すればインシデント対応の自動化が進む。対応業務の属人化を脱し、インシデント対応の確実性とスピードもアップする。

 しかし、自動化がもたらす真のブレークスルーはこの先にあるという。山下氏は「自動化が進むことで、セキュリティチームは煩雑なインシデント対応の負担を大幅に軽減できる。それによって生まれた時間と人的リソースを今度は情報の収集やセキュリティの見直しに充てるのです」と話す。

 自組織のセキュリティ対策に過不足や脆弱性はないか。見逃していた脅威はないか。攻撃の傾向は変わっていないか。課題があれば、その対策を進め、セキュリティレベルを継続的に向上させていく。「こうした取り組みを進めることで、進化する攻撃者に屈せず、攻撃者を先回りするセキュリティ運用が実現します」と山下氏は強調する。

 IBM Resilient SOARは疲弊するインシデント対応をクールに変革し、セキュリティ運用に真のブレークスルーをもたらす。

お問い合わせ
  • 日本アイ・ビー・エム株式会社

    URL:https://ibm.biz/soar_jp

    IBMアクセスセンター
    TEL:0120-550-210 (フリーダイヤル)
    受付時間: 平日 9:00~12:00、13:00~17:00
    (土曜、日曜、祝日、12月30日~1月3日を除く)

    メール・フォームでのお問い合わせ
    https://ibm.biz/security_contact