技術解説

SOAR コンセプトで“一段階上”のセキュリティ運用を実現

情報漏えいのような深刻な事態を防ぐには、サイバー攻撃を防御するだけでなく、不審な兆候をいち早く検出して早期に対処、再 発を防止するというセキュリティ運用を回していくことが重要です。しかし多くの現場では、一連の作業が人手頼りとなり、しかも貴 重なセキュリティ技術者が定型的な作業に忙殺されているというのが現状です。これを解決する鍵が、セキュリティ運用にまつわる さまざまな作業を自動化・効率化する「SOAR」(Security Orchestration, Automation and Response)というコンセプトです。ここでは、 このSOAR を実現する「Splunk Phantom」について紹介します。

「人手頼り」と「人手不足」に悩む日本のセキュリティ運用の現場

セキュリティ対策というと、不正アクセスを遮断する「防御」を真っ先にイメージする方が多いことでしょう。しかし残念ながら、サイバー攻撃は巧妙化の一途をたどっており、われわれの対策を見越して新たな手口を講じ、侵入してきます。それらすべてを100%防ぎ切るのはきわめて困難です。  米国国立標準技術研究所(NIST)の「サイバーセキュリティフレームワーク」をはじめとする多くのガイドラインは、この事実を率直に受け止め、できる限りの防御を講じた上で、脅威を迅速に検知し、被害が拡大する前に対応していくインシデントレスポンス体制の整備を求めています。日本でも徐々に、その認識が広がり始めています。  しかし、その整備を阻害している大きな要因があります。1 つは「属人化」、すなわち人手に頼ったセキュリティ運用です。  さらに、これと相反するようですが、「人材不足」も大きな課題です。人手頼りのセキュリティだからこそ、セキュリティの知識を持った技術者が求められているのすが、ここ数年叫ばれているのは“深刻なセキュリティ人材不足”。セキュリティ運用を回そうにも、普通の企業や組織がセキュリティ技術者を十二分に雇い入れるのは簡単ではありません。  一方で、前述の通りサイバー攻撃は巧妙化し、増加の一途をたどっています。かつてのような、いたずら半分の攻撃はいまや少数派となり、金銭さらには特定の組織の知的財産などを狙った産業スパイ、あるいは破壊行為など、さまざまな目的で展開される高度な攻撃が増加しています。インターネットでちょっと検索すれば攻撃用ツールが容易に見つかる状況も、それに拍車をかけています。  もちろん、防御側が何も手を打たなかったわけではありません。ファイアウォールやアンチウイルスといった従来からの対策に加え、EDR(Endpoint Detection and Response)やWAF(Web Application Firewall)、サンドボックスなどを導入し、多層防御に取り組む企業は増えています。  それ自体は良いことですが、反面、セキュリティ担当者が管理すべき機器は増え、確認すべきアラートは増加の一途をたどり、重い業務負荷となっています。また製品それぞれはうまく機能していても、製品間の連携は実現できておらず、多層防御と言っても、ただ“壁”を並べただけのスタティックな防御にとどまっています。このため、かけるコストは増大しているのに、脅威にスピーディに対応できていない のです。  昨今はIT 環境の進化に伴い、クラウドなど守るべき対象がさらに増加しています。こうした状況で、多数のセキュリティ製品を適切に運用していかなければ企業を守れないのに、その運用をできる人材がいない―――まさに“ないない尽くし”の状態です。

「タスク自動化」と「ソリューション連携」で効率的な防御を実現

 この状況を解決するアプローチの1 つが、セキュリティ運用やインシデント対応を自動化・標準化していく「SOAR」(Security Orchestration, Automation and Response) というコンセプトです。これまで人手に頼っていた情報収集や解析、優先順位付けと意思決定、その結果に基づく端末隔離などの作業を自動化し、効率的なCSIRT (Computer Security Incident Response Team)やSOC (Security Operation Center)の運用を支援していきます。

下記より全頁のPDFをダウンロード可能です。

Tweet

「運用管理効率化」に関連する製品・サービス