セキュリティの運用にServiceNowを活用し、成果を上げている企業も少なくない。セキュリティアナリストの生産性を3倍向上した製造業や、インシデント検知からトリアージと封じ込めまでの時間を85%短縮化した流通業、さらにはオープンな脆弱性を80%削減した製造業もあるという。
なぜこれだけの成果を上げられるのか。これらの事例にはセキュリティの成熟度に応じた共通するアプローチが見られるという。
まず、運用改善を図る前段階となる「レベル0」では、スプレッドシートを使ったトラッキングやメール、電話、テキストによるコミュニケーションや手動による作業が主体となる。一元化されたセキュリティ対応のシステムがないため、問題が発生した場合、対応の初動が遅れるだけでなく、アラートが孤立してほかの業務やセキュリティ対策と連動しないため、限られた対応に終始してしまう状態を示すという。
この改善に向け、「レベル1」では、インシデント情報の集約化がポイントとなる。各ツールのログなどを一元的に管理・分析するセキュリティ情報イベント管理(SIEM)と、外部のセキュリティ監視サービスであるマネージドセキュリティサービス(MSS)からのセキュリティインシデントの自動取り込みの仕組みを確立することで、統合された情報インフラ上で自動化された優先順位付けや担当者の割り当てを目指す。それと同時に、実際のプロセスを定義・文書化して分析を行っていくことになるが、この段階ではインシデントへの対応は手動となる。しかし、手動対応だとしても記録を残して可視化することが重要だという。
「レベル2」では、対応時間の迅速化や判断の正確性向上を図ることを目指し、調査活動を自動化。情報を蓄積しながら、自動化できていない業務のさらなる自動化を目指す取り組みとなる。
そして、最終段階の「レベル3」では、プロセス全体の自動化を実現するため、サイバー攻撃の痕跡を表すIoC(Indicator of Compromise)の検索、エンドポイントをリアルタイムで監視する「EDR」、ファイアウオールのワークフローなどの自動化にも着手。広範囲な運用ルールの実装を進め、新たな統合ワークフローや複合的なダッシュボードを作成していくことになる。
「こうしたアプローチを進めるにあたり重要なのは、レベル1から段階的に進めることです。レベル3の全体の自動化や連携に着目されがちですが、いきなりレベル3から始めてしまうと、一時的に効果が見られる場合もありますが、運用の定着化が難しく多くの手戻りが発生します」と森田氏は説明する。
ServiceNow社でもこうしたステップで運用改善を進めたところ、セキュリティインシデントの特定にかかる時間を70%以上削減したほか、定期的に実施するフィッシングへのメール訓練業務の効率化、脆弱性に対する適切な担当者への迅速なアサイン対応など、様々な成果が上がっているという。
DXへのシフトが加速する中、そのスピードに合わせたセキュリティ運用体制の見直しが求められている。しかし、これまでと同じ手法ではセキュリティレベルの維持はもちろん、増え続けるインシデントに対応することは難しい。こうした観点から、今後一元化、自動化、コラボレーションを念頭に、インシデントや脆弱性に迅速に対処できるセキュリティ体制作りが不可欠となっていくだろう。