脆弱性やインシデントへの対応を自動化する

ニューノーマル時代のセキュリティ運用とは

脆弱性やインシデントへの対応を自動化する

ニューノーマル時代のセキュリティ運用とは

脆弱性やインシデントへの対応を自動化する

ニューノーマル時代のセキュリティ運用とは

　アイデンティティ管理、エンドポイント保護、脆弱性管理、ネットワーク、メール、データセキュリティ…。サイバー攻撃の進化に合わせてセキュリティ対策は細分化しており、担当者は数多くのツールやサービスに囲まれている。

　「いくつのセキュリティツールを利用しているかと、お客様に尋ねると、平均で40～50のツールやサービスを利用しているという答えが返ってきます」とServiceNow Japanの森田成紀氏は語る。

　さらに、各ツールによって適用範囲が異なり、ツール間の連携もほとんどできていない。にもかかわらず適正かつ迅速な判断と対応を求められ、サイバー攻撃や自社の対応状況の全容を把握できないまま、運用を強いられているのが実態だという。「このような状況でセキュリティを適切に運用できていると、自信を持って言えるセキュリティ担当者は少ないのではないでしょうか」と森田氏は警鐘を鳴らす。

　一方、自社での運用を諦め、アウトソース型のセキュリティ監視サービスを利用しているケースもあるが、サービスで可視化できる範囲も限られている場合が多い。そのため、セキュリティ状況を俯瞰し、適正なセキュリティ運用を実現することは容易ではない。

　セキュリティ運用の足かせとなる要因はまだある。「インシデントを迅速に発見できたとしても、ITとセキュリティの両方でビジネス的な観点から適切な優先順位を付けて対応できる人材がいないといったことはその1つです。また、デジタルツールやサービスが適用されているにもかかわらず、運用は電子メールやスプレッドシートを用いた手動で行っており、対応が後手後手となってしまうケースもあります」（森田氏）。

　それではDXの推進が進む中、どのようにセキュリティを運用していけばいいのか。そのキーとなるのは「自動化とワークフロー」だと森田氏は主張する。

　これまでのセキュリティ運用は一部のスペシャリストがすべての業務をこなし、同じ空間で学習し、指示を受けることで運用がなされ、「あの人に聞けばいい」という暗黙知かつ属人化した状態で成り立ってきた。

　しかし、今後のセキュリティ運用は、DX化やサイバー攻撃の変化へと柔軟に追従していく必要があるため、各部門がセキュリティに関する調査・分析・対応・承認を協力しながら進めていくことが求められる。その実現には組織間を横断してつなぐデジタルワークフローが必要になると同時に、部分的な効率化だけではなく、関連するすべてのプロセスを効率化する自動化が必須となるわけだ。

　そのインフラとして有効に機能するのがServiceNowだ。ServiceNowは関連するすべてのプロセスを網羅したデジタルワークフローを提供できるプラットフォーム。企業全体あるいは複数の機能やシステムにまたがって流れる業務を、統一されたユーザー体験（エクスペリエンス）でデジタル化することができるという。

　「ServiceNowの強みは、単一プラットフォーム上で1つのデータモデル、1つのアーキテクチャを提供するだけでなく、企業間・業務間のワークフローを構築する上で必要となる構成管理データベース（CMDB）、機械学習、AI、予測分析といった機能が提供されているところです」と森田氏は説明した。

　実際、ServiceNowでは各セキュリティツールからの脆弱性やインシデントの情報を取り込んで一元管理し、優先順位付けや担当者へアサインをして、場合によっては直接セキュリティツールの設定を変更するといった一連の流れを自動化するセキュリティ運用が可能となっている。

　セキュリティの運用にServiceNowを活用し、成果を上げている企業も少なくない。セキュリティアナリストの生産性を3倍向上した製造業や、インシデント検知からトリアージと封じ込めまでの時間を85％短縮化した流通業、さらにはオープンな脆弱性を80％削減した製造業もあるという。

　なぜこれだけの成果を上げられるのか。これらの事例にはセキュリティの成熟度に応じた共通するアプローチが見られるという。

　まず、運用改善を図る前段階となる「レベル0」では、スプレッドシートを使ったトラッキングやメール、電話、テキストによるコミュニケーションや手動による作業が主体となる。一元化されたセキュリティ対応のシステムがないため、問題が発生した場合、対応の初動が遅れるだけでなく、アラートが孤立してほかの業務やセキュリティ対策と連動しないため、限られた対応に終始してしまう状態を示すという。

　この改善に向け、「レベル1」では、インシデント情報の集約化がポイントとなる。各ツールのログなどを一元的に管理・分析するセキュリティ情報イベント管理（SIEM）と、外部のセキュリティ監視サービスであるマネージドセキュリティサービス（MSS）からのセキュリティインシデントの自動取り込みの仕組みを確立することで、統合された情報インフラ上で自動化された優先順位付けや担当者の割り当てを目指す。それと同時に、実際のプロセスを定義・文書化して分析を行っていくことになるが、この段階ではインシデントへの対応は手動となる。しかし、手動対応だとしても記録を残して可視化することが重要だという。

　「レベル2」では、対応時間の迅速化や判断の正確性向上を図ることを目指し、調査活動を自動化。情報を蓄積しながら、自動化できていない業務のさらなる自動化を目指す取り組みとなる。

　そして、最終段階の「レベル3」では、プロセス全体の自動化を実現するため、サイバー攻撃の痕跡を表すIoC（Indicator of Compromise）の検索、エンドポイントをリアルタイムで監視する「EDR」、ファイアウオールのワークフローなどの自動化にも着手。広範囲な運用ルールの実装を進め、新たな統合ワークフローや複合的なダッシュボードを作成していくことになる。 　「こうしたアプローチを進めるにあたり重要なのは、レベル1から段階的に進めることです。レベル3の全体の自動化や連携に着目されがちですが、いきなりレベル3から始めてしまうと、一時的に効果が見られる場合もありますが、運用の定着化が難しく多くの手戻りが発生します」と森田氏は説明する。

　ServiceNow社でもこうしたステップで運用改善を進めたところ、セキュリティインシデントの特定にかかる時間を70%以上削減したほか、定期的に実施するフィッシングへのメール訓練業務の効率化、脆弱性に対する適切な担当者への迅速なアサイン対応など、様々な成果が上がっているという。

　DXへのシフトが加速する中、そのスピードに合わせたセキュリティ運用体制の見直しが求められている。しかし、これまでと同じ手法ではセキュリティレベルの維持はもちろん、増え続けるインシデントに対応することは難しい。こうした観点から、今後一元化、自動化、コラボレーションを念頭に、インシデントや脆弱性に迅速に対処できるセキュリティ体制作りが不可欠となっていくだろう。