情報セキュリティ戦略セミナー 2021
〜 ニューノーマル時代のサイバーセキュリティ対策 Review 〜
マクニカ

人手に頼った対策が抜け漏れを招く


セキュリティ運用の負荷を減らすSOAR

人手に頼った対策が抜け漏れを招く


セキュリティ運用の負荷を減らすSOAR

人手に頼った対策が抜け漏れを招く


セキュリティ運用の負荷を減らすSOAR

テレワークが普及し、業務システムのクラウドシフトが加速する中、問題になっているのが、セキュリティ運用の負荷増大だ。セキュリティ対策を実施すべき対象が拡大した結果、企業の対応が行き届かなくなりつつある。この状況に対してマクニカは、包括的セキュリティ対策プラットフォーム「CrowdStrike」を提供。ここに組み込まれる「Falcon Fusion」によって、運用フローの自動化を図ることを提唱している。

セキュリティ運用の負荷を軽減するため、
注目を集めるSOAR

株式会社マクニカ ネットワークス カンパニー 第1技術統括部 第2技術部第2課 河野 翔氏
株式会社マクニカ ネットワークス カンパニー
第1技術統括部
第2技術部第2課
河野 翔
 テレワークをはじめ、コロナ禍における働き方の多様化は企業に多くの新たな価値をもたらした。ただ一方で、サイバー攻撃を行う側から見てみると、狙い目となるポイントが増えて攻撃を仕掛けやすくなった状況ともいえる。オンプレミスに加えてクラウドのシステムが増加したことはその1つだ。セキュリティ対策を施すべき部分が一気に増えたことで、企業の対応が追い付かなくなっている。

 「多くの企業がセキュリティ製品を追加導入して対策強化を図っていますが、環境変化に対してセキュリティ対策が追い付いていない状況です。また、対策ポイントが増えればセキュリティ対策の運用負荷も増大します。この状態で適切な対策を実施し続けることは、決して容易ではありません」とマクニカの河野 翔氏は指摘する。

 さらに、最新の脅威に関する幅広い知識と、高度なスキルを併せ持ったセキュリティ担当者は多くない。どんどん増えていく対策ポイントと対策ソリューションを前に、運用担当者のリソースがボトルネックになっている。結果として業務の属人化が加速しているのも大きな課題といえるだろう。

 このような課題を解決する方法はいくつか考えられる。例えば、増え続けるセキュリティ製品をあらためて精査し、必要最小限に絞り込むことはその1つだ。これにより運用負荷を軽減する。「ただ、それによって監視に抜けが生じ、本来防げたはずの脅威の侵入を許してしまっては本末転倒です。なるべくなら避けたい方法といえるでしょう」と河野氏は言う。

 あるいは、多種多様な対策製品が発報する大量のアラートをフィルターにかけることで、担当者の稼働を抑える方法もある。しかし、これも先の方法と同様、重大なアラートを見落としてしまう可能性があるため、お勧めできない。

 「そこで当社が提唱するのが、一連のセキュリティ運用業務の中に存在する単純作業や反復作業をツールに代替させることで、運用の自動化を図る方法です。具体的には、『SOAR(Security Orchestration and Automated Response)』を導入することで、これを実現するのです」と河野氏は述べる。

Playbookに登録した運用フローを自動で実行

 SOARとは、セキュリティ運用の統合化と自動化を図ることを指す。これがどのような効果をもたらすのかを理解するには、まず一般的なセキュリティ運用のフローを把握しておく必要があるだろう。

 運用担当者は、アンチウイルスなどの各種対策製品から発報されるアラートを監視して、そのアラートごとに問題の切り分けや調査を行う。その後、原因に応じた対応を実施。例えば、脅威と思しきファイルが見つかれば隔離したり、感染端末が見つかればネットワーク接続を遮断したりする。併せて、脅威情報や脆弱性・パッチ情報を含むインテリジェンスの管理・活用も重要な仕事となる(図1)。  「SOAR製品は、これら一連のフローを自動化するほか、インテリジェンスの統合管理も実現できます」と河野氏は説明する。定型化が可能な多くのプロセスを人手から離すことができ、運用負荷を削減できるほか、特定担当者に依存しないセキュリティ運用を具現化できるようになるだろう。

 SOARでは、Playbookと呼ばれるフローチャートベースの手順書に基づき自動化を行う。このPlaybookは事前に設計し、登録しておく必要があるため、SOAR製品は単に導入しただけですぐ活用することはできない。始めに企業ごとの既存の運用フローを棚卸しして、最適な流れを再確認しておくことが不可欠だ。

 「そのため、SOARを導入することが、セキュリティ運用フロー見直しの好機にもなります。新たな運用フローがPlaybookとして定義され、登録されるため、運用フローが可視化され、運用担当者全員が把握できるようになるのもメリットといえるでしょう」と河野氏は付け加える。

フローチャートを埋めるだけで運用フローを簡単に定義

 このように、SOARを活用することは、多くの企業が直面しているセキュリティ運用の負荷増大、セキュリティ人材の不足といった課題の解消に向けた有効な手段となる。マクニカは、包括的セキュリティ対策プラットフォーム「CrowdStrike」のコンポーネントの1つとして、SOARの機能を持つ「Falcon Fusion」を提供している。

 CrowdStrikeは、NGAV(次世代アンチウイルス)やEDR(Endpoint Detection and Response)を核とした対策ソリューション(図2)。未知の脅威やマルウエアフリー攻撃に対しても独自AIの機械学習による検知・防御を実現するほか、強力なEDR機能によって、侵入済みの脅威に対しても早期発見と対処を実現する。  また特徴的なのがOverWatchと呼ばれる「脅威ハンティング」だ。CrowdStrike社の脅威ハンティングチームが、クラウドに収集されるログを人の目で監視・調査してユーザーに通知する。加えて、調査・解析の結果は検知ロジックに反映するといったことも行っている。このようにNGAV、EDR、そして脅威ハンティングによる多層防御を具現化できる点が、CrowdStrikeの強みといえるだろう。

 Falcon Fusionは、このCrowdStrikeのEDRモジュールに標準装備される形で提供されている。CrowdStrikeのEDRを利用しているユーザーは、追加コストなしでFalcon Fusionを利用することが可能だ。

 CrowdStrikeが発報するアラートの統合から、切り分け、調査、対処までの一連のセキュリティ運用フローを管理し、自動化する。人手を介さない形になるため、有事の際の対応スピードも速めることが可能だ。「運用フローのPlaybookへの登録も簡単で、トリガーとなるアラートや、アラート内容による条件分岐、そして実施すべきアクションを、画面上のフローチャートを選択して埋めていくだけで完了できます。高度なプログラミングスキルが不要なので、簡単かつスムーズにSOARを使い始めていただくことができるでしょう」(河野氏)。

 ビジネスをとりまくセキュリティ上のリスクは、今この瞬間にもどんどん増加している。多くの企業が直面するセキュリティ運用の負荷増大。この課題を解決するための方法として、CrowdStrikeおよびその中でSOARを担うFalcon Fusionは、有効な選択肢になるだろう。
情報セキュリティ戦略セミナー 2021 ニューノーマル時代の
サイバーセキュリティ対策
Review
TOPへ
お問い合わせ
株式会社マクニカ ネットワークス カンパニー 〒222-8563 神奈川県横浜市港北区新横浜1-5-5 マクニカ第2ビル
TEL:045-476-2010(代表)
URL:https://www.macnica.co.jp/business/security/manufacturers/crowdstrike/index.html