検知・対処の自動化で人材不足を補う
今求められている「モダンSOC」の構築術

　ランサムウエアによる被害が後を絶たない。ランサムウエアは情報を暗号化し、その復旧と引き換えに身代金を要求する攻撃だ。以前はデータのバックアップがあれば要求に屈せずに済むと考えられてきたが、それももはや通用しない。攻撃者は情報を暗号化するだけでなく、既にそれを手に入れ優位に立っているからだ。身代金要求に応じなければ、搾取した情報を公開すると脅し、さらに圧力をかけてくる。

　“最恐マルウエア”といわれるEmotetのリスクも再燃している。2021年1月にテイクダウン（無害化）されたことがEUROPOL（欧州刑事警察機構）より発表されたが、同11月に再び活動が観測された。国内でも活動が活発化する恐れがあり、引き続き警戒が必要だ。

　このように昨今のサイバー攻撃はより悪質・巧妙化し、既存の対策をすり抜けるものも増えている。ランサムウエアの暗号化スピードは非常に早く、45分未満で約10万ファイルを暗号化するという。ファイル規模によっては、ものの数分ですべてが暗号化されてしまう。暗号化が始まってからブロックするアプローチでは手遅れになる。

　サイバー攻撃はデータの暗号化や搾取に至るまでに複数のステップを踏む。できるだけ初期段階で侵入を検知し、対処することが被害の抑止につながる。NIST（米国国立標準技術研究所）の「サイバーセキュリティフレームワーク」の中でも「検知」と「対処」は特に重要なプロセスである。

　この2つの対応スピードを測る指標がある。MTTD（平均検出時間）とMTTR（平均修理時間）である。MTTDは異常が発生してからそれに気づくまでの時間。MTTRは異常が発生してからそれが解決されるまでに要する時間のことだ。

　攻撃を検知するのに時間がかかればかかるほど攻撃者の滞留時間が長くなり、リスクが高まる。また対処に時間がかかるほど被害が大きくなる。「網羅的に、抜け漏れなく正確に検出・対処する。この時間をいかに短くするかが、その後の明暗を分けるカギを握っています」とSplunk Services Japanの藤盛 秀憲氏は指摘する。

　昨今は迅速・適切にリスク低減を図るため、SOC（セキュリティー オペレーションセンター）を構築・運用するする企業が増えている。SOCはネットワークやデバイスを監視し、サイバー攻撃の検出・分析を行い、対応策のアドバイスなどを行う専門組織だ。MTTDとMTTRを削減するためには、このSOCの仕組みと運用を見直す必要がある。

　SOCの運用には優れたプロセスとテクノロジー、そしてスキルを持つ人材が不可欠だ。しかし、人手に頼るやり方では運用負荷が高まり、作業も属人化する。そもそもセキュリティー人材や解析を担うアナリストは不足しており、簡単に人員を増やすことは難しい。

　解決策としてSplunkが提唱するのが「モダンSOC」の実現である。「統合された脅威インテリジェンスとデータサイエンス、機械学習を活用し、データセントリックなセキュリティー運用を自動化するのです。人手による対応に比べ、MTTDとMTTRを大幅に削減します。セキュリティー運用が効率化し、運用負荷も軽減できます」と藤盛氏は語る。

　モダンSOCの中で特に重要な役割を担うテクノロジーが、SIEM（Security Information and Event Management）とSOAR（Security Orchestration, Automation and Response）である。

　SIEMとはネットワーク機器やデバイス、ソフトウエアの動作状況を一元的に蓄積・管理し、異常をいち早く検知・分析するソリューション。「どこに、どんなリスクがあるのか。潜在的な脅威を可視化し、インシデント発生時の迅速な対応が可能になります」と藤盛氏は説明する。様々なイベントログを一元管理できるため、セキュリティー監視とコンプライアンス管理も徹底できる。

　一方のSOARはセキュリティー運用業務の自動化を実現するソリューションだ。「脅威インテリジェンスを活用して事前に対処のルールや手順を定義しておくことで、SIEMが検知したインシデントの判断や対処を自動化できます」（藤盛氏）。

　リモートワークやクラウドサービスの普及に伴うサイバー攻撃リスクの拡大、慢性的なセキュリティー人材不足を背景に、近年SIEMとSOARの注目が高まっているという。

　SplunkはモダンSOCの基盤となるデータプラットフォームをはじめ、SIEM製品の「Splunk Enterprise Security」やSOAR製品の「Splunk SOAR」など多様なソリューションを提供している。Splunk Enterprise Securityで検知し、Splunk SOARで対処する。2つを組み合わせることで、このサイクルを自動化によって省人化し、高速に回すことができるようになるという。

　Splunk Enterprise Securityは収取したログから検知回避の難読化を見つける検知ルールなどを790種類以上実装する。「対象となるログが必要ではありますが、WindowsシステムのPowerShellを悪用したコードのほか、スタートアップ実行時を狙ったレジストリへの書き込みなど常駐化しようとしたリスクを、定期的に提供しているEnterprise SecurityのルールであるESCU（Enterprise Secruity Contents Update）にて見つけ出すことが可能です」（藤盛氏）。

　高度な検知力でリスクを網羅的に把握できるが、すべてのリスクがインシデントにつながるとは限らない。「この見極めが非常に大切で、SIEMの運用ではここに多くの労力が費やされています。その点、Splunk Enterprise Securityはリスクを網羅的に把握しつつ、インシデントに発展し得るリスクの高い脅威についてアラートを発します。運用を効率化し、MTTDを大幅に削減できるのです」と藤盛氏は強調する。

　これを可能にしているのが、独自の「リスク・インシデントルール」だ。検知したリスクを判断し、その重要度や影響度に応じてスコアを付ける。例えば、24時間以内に特定のユーザーまたはシステムに関するリスクスコア合計値が100を超えた場合にアラートを発する。簡単なサンプルとして、AWSのセキュリティー運用におけるスコア化イメージは図1の通りだ。 　素早く検知したら、今度は素早く対処しなければならない。しかし大規模な組織になれば、疑わしいものも含めたアラートの発生は1日あたり数千件から1万件に達することもある。Splunk Enterprise Securityでアラートを絞り込んだとしても、その数は膨大だ。これらすべてを人的に選別・分析・管理するのは現実的ではない。人的に選別した結果、抜け漏れが発生し、それが重大インシデントにつながる恐れもある。

　その点、Splunk SOARはこの不安を解消し、MTTRを大幅に削減する（図2）。「Splunk SOARがアラートを選別・分析し、自動化で対応できるアラートは自動で対処します。これにより、アナリストが分析・対処すべきアラートを激減させることができます」と藤盛氏はメリットを述べる。 　Splunk SOARを活用することで、アナリストのワークフローがシンプルになり、対応速度が大きく向上する。これまで30分かかっていた対応時間を30秒に短縮できたケースもあるという。「限られたアナリストを管理的作業から解放し、より付加価値の高い作業へ割り当てることで、組織全体のセキュリティーをより強靭なものにしていけます」と藤盛氏は続ける。

　高度化するサイバー攻撃から組織を守るためには脅威の検知と対処を迅速化し、MTTDとMTTRの削減を促進することが肝要である。その仕組みとしてモダンSOCの実現は有力な解決策になるだろう。