ビジネス&テクノロジー

FortiSOAR 7.0によるインシデントレスポンスの管理

投稿者 Max Zeumer | 2021年5月26日

社内、リモートワークまたはその両方と、会社によって勤務形態は違っても、SOC(セキュリティオペレーションセンター)チームはサイバー攻撃に対処するために4つの原則(通知、調整、調査、エスカレーション)を実行する必要があります。また、その効果を最大化するためには、これら4つの原則を可視化して、インシデント検出後の迅速な復旧と運用の継続を可能にする包括的な制御機構が必要です。サイバー攻撃の頻度と複雑さが増加した現在、このような機構は特に重要です。また、ネットワークの進化とともに接続するデバイス数が増え、社員の分散化が進み、侵害される可能性も急増しています。この複雑な状況下で危機に対応するには、SOC内で管理を統一する必要があります。重大なアラートの発生に備えて危機管理センターを一元化し、組織全体で動的にインシデントレスポンスに切り替える体制を整える必要があります。

情況が複雑化すると組織のリスクが増大するだけでなく、効果的なレスポンスも困難になります。人員不足のSOCチームはアラートの増加と大量の手動プロセスによって終わりのない作業に追われ、過労状態でプロアクティブに対応することができません。また、情況の複雑化によって危機に備えることも困難になっています。危機はすべて形態が異なるため、状況によって対応戦術を変える必要があります。

フォーティネットのForiSOAR 7.0ではケース管理、オーケストレーション、自動化などの高度なツールによってこれらの課題に正面から取り組み、危機に合わせて最適化されたクライシスレスポンスを迅速に実行できます。

TeamsSOCチームの危機対応戦略の成功に必要な課題の解決

優れた危機対応戦略を策定するには制御が必要です。SOCチームは以下の4つの制御に関連する課題を解決する必要があります。

  • 通知

組織全体に迅速に状況を伝えることは重要です。そのためには、法務、PR、人事の各部門、経営幹部、広報担当者など、さまざまな関係者に連絡するための社内のコミュニケーションチャネルが必要です。また、これらの社員がデータを共有し、戦略を策定し、リアルタイムで協議するための同期の機能も必要です。

  • エスカレーション

SOCチームは日常業務から深刻な危機対応(イベントのリアルタイムの追跡と分析を含む)へと体制を迅速に切り替える必要があります。

  • 調整

危機的状況になった場合、迅速かつ流動的な調整が必要です。指揮系統を整備し、断片的なレスポンスにならないよう、SOCの内部と外部の両方でチーム、役割、プロセスを適切に分担します。また、リソースの収集や意思決定の権限などの重要な任務の管理を容易にします。

  • 調査

調査チームとレスポンスチームは全体を把握して制御するため、調査を一元管理する必要があります。また、影響する資産を特定し、調査中にそれらの資産を保護または分離するなど、重要な情報に基づいてアクションプランを策定することも重要です。

FortiSOARのウォールーム

インシデントレスポンスにとって最も重要な作業の1つは、重要なデータと主要なスタッフをウォールームに迅速に集中させることです。FortiSOARのインシデントウォールーム(ダッシュボード)を構成するテクノロジーではすべてが統合された危機管理アプローチを採用しているため、危機の発生時には必要な各リソースが中央に集中します。このリソースによってセキュリティチームは強力なレスポンス戦略をわずか数分で策定できるため、無秩序で断片的なアプローチとは異なり、レスポンスが最適化され、集中的かつ迅速に対応できます。

FortiSOARのインシデントウォールームを使用すると、チームの重要なメンバーとリソースがすばやく集められ、組織のSOCや部門の違いを超えたコラボレーションによるインシデントレスポンスが実現します。SOCアナリストに必要な情報を提供し、人事や法務などの主要な関係者のグループと相互に調整することは効果的な危機管理に不可欠です。FortiSOARインシデントウォールームでは、企業が関連組織と接続したり、MSSPが状況把握のため顧客とつながれば、必要不可欠な機能を幅広く提供する事が出来ます。

たとえば、インシデント対応チームにはタスク管理、経過時間、影響する資産、分析の対象、確認された脅威の種類など、危機の詳細を完全に把握できるワークベンチ(管理場面)が提供されます。インシデントの概要とレポートを利用して主要な関係者に定期的に最新情報を提供し、そのレポートにリアルタイムの会話が可能な通信機能を組み込むこともできます。また、予測不能なインシデントに対応するため、FortiSOARのモバイルアプリを活用してウォールームの機能を拡張し、移動中のユーザーのデバイスでの調整と承認、リモートでのプロセスへの参加、アクションの実行、インシデント解決のサポートが行えます。

FortiSOARは戦略システムで適切な人材、システム、情報を連携させて、サイバー攻撃に迅速に対応するのに必要な機能がアナリストに提供されます。このアプローチによって、チームは素早いコラボレーション、脅威の可視化、迅速な意思決定が可能になり、サイバーイベントの影響を最小限に抑えることができます。また、適切なツールが提供されるため、予測不能の危機に対してもプロアクティブな対応を最大化することができ、組織のセキュリティインフラ全体をさらに強化し、SOCチームの準備と効果を最適化できます。

図1:ウォールームのダッシュボードから必要な情報にアクセス

フォーティネット セキュリティ ファブリックの活用

どのような組織であっても、インシデントレスポンスには調和の取れたコラボレーションは不可欠です。ただし、組織が採用するアプローチとセキュリティチームのレスポンスの効果は導入した管理テクノロジーによって決まります。フォーティネットの自動化モデルは小規模な組織からグローバルな組織まで、さまざまな成長の段階にあるSOCチームをサポートしています。

フォーティネット セキュリティ ファブリックでは、セキュリティ機能とネットワーク機能を統合したフレームワークによって広範な可視化と制御、SOCプロセス自動化が実現します。また、組織は成長に合わせて幅広い管理システムのポートフォリオから内部のフレームワークに最適なテクノロジーを選択できます。たとえば、ポートフォリオの最上位に位置する包括的なFortiSOARでは、大規模なセキュリティチームがプロセスを最適化し、レスポンスを加速するのに必要な高度なSOARソリューションの機能が提供されます。FortiAnalzyerをベースにした高度なログとレポート作成機能、FortiXDRによる検出とレスポンスの拡張機能、FortiSIEMによるマルチベンダーの可視化など、FortiSOARでは最適な機能を動的に利用できるため、どんなに深刻な危機にも迅速に対応して阻止できます。

SOCチームのインシデントレスポンスの加速、オペレーションの統一、アラート対応の軽減を実現するFortiSOARの詳細をご覧ください。