業界トレンド
進化する脅威と新たなデジタルイノベーションを背景に、デジタル攻撃対象領域は拡大を続けています。対抗措置として、新たな多くの組織がセキュリティ機能(専用のポイントソリューションが多い)を追加していますが、セキュリティの複雑化につながっています。多くの組織が、多数のベンダーの管理、大量のアラートの調査、複数のコンソールの管理、手作業によるプロセス、増加するワークロードを管理する人材の不足に悩んでいますが、セキュリティの複雑化は、こうした状況にさらに追い打ちをかけています。
SecOps(セキュリティオペレーション)チームが限界に達しないように負担を軽減できるのが、SOAR(セキュリティオーケストレーション、自動化、レスポンス)です。
このリスクは現実に起こっており、しかも深刻です。セキュリティアナリストは現在、一日も休むことなく発生する大量のセキュリティアラートに悩まされています。この問題は、ますます複雑化し、断片化するセキュリティインフラストラクチャ(異なるベンダーの過剰な数のポイント製品)に起因しています。一例を上げると、平均的な企業では、新たな脅威やリスクに対応するために47もの異なるセキュリティソリューションやテクノロジーが導入されています。
問題の大半は膨大な量のアラートによるものですが、複数のソースから発生するアラートの追跡、調査、減災のために、SOC(セキュリティオペレーションセンター)の担当者は、大量の手作業を強いられています。このように非効率的なワークプロセスはインシデントレスポンスのプロセスを遅らせることになり、現状では1件のセキュリティ侵害の特定と封じ込めに平均で279日を要することがわかっています。
また、SecOpsという点では、サイバーセキュリティスキルはどの国でも不足しています。現在、全体の3分の2近い(65%)企業は、セキュリティオペレーションの維持に必要なスキルを持った人材の不足という課題に直面しています。
以上の要素が複雑に絡み合うことで、セキュリティ侵害を見過ごす可能性がさらに高まってしまいます。
SecOpsチームは、社内にあるすべてのセキュリティツールやチーム全体で、反復的な機能のオーケストレーション / 自動化を行う機能を備え、簡単にカスタマイズできるフレームワークを必要としています。このようなフレームワークでは、過剰なセキュリティアラートが解消され、コンテキストの切り替えが少なくなります。その結果、SecOpsチームは、単なる順応ではなく、セキュリティプロセスを最適化することができます。
特に、SOARを活用することで、人による監視を必要としない煩雑で反復的なワークフローを自動化しながら、必要に応じて人による対応や承認を行うことが可能になります。最適なSOARソリューションは、脅威データを補強してコンテキストを追加する機能を備えているため、アナリストはリスクの深刻度、脅威にさらされるデータやリソースの機密性、標的になるビジネス機能の重大度に基づいて、迅速にトリアージを実行できます。
セキュリティチームのスタッフ数や組織構造はさまざまですが、同じ課題に直面しています。ITとセキュリティの両方を担当する小規模なチームの場合、ベンダーやセキュリティコントロールの数は少なく、アラート件数が限られていたとしても、1つのチームが幅広い責任を担っているため、アラート調査に割ける時間は限られてしまいます。一方で、大規模な専任セキュリティチームの場合、スタッフ数が多く、スキルセットも豊富で、作業に十部な時間を割くことができますが、対応が必要なベンダー、コントロール、アラート件数は多くなります。いずれの場合も、統合化 / 自動化された幅広い セキュリティ ファブリックと、SOARによるアラートの一元管理、オーケストレーション、自動化を組み合わせることで、あらゆる規模のチームが直面している課題を解決できます。
SOARは、統合されたセキュリティ ファブリックアーキテクチャの一部として機能するため、セキュリティのツールや機能を、1つの統合型ソリューションとしてプロセスとともに集約します。また、低レベルのティア1アラートプロセスの大部分を自動化することで、アナリストは重要度の高いタスクに専念できるようになるため、SOCチームのワークロードを効率化できるというメリットがあります。
統合型SOARソリューションの3大機能と、短期間で価値をもたらすユースケースをご紹介します。
適切なSOARソリューションがあれば、セキュリティチームは、すべてのタスク、変更、アップデートを組織のニーズに合わせて自動化し、効率化できます。このようなSOARソリューションは、ワークフローの自動化だけでなく、セキュリティ機能全体を強化し、セキュリティを包括的に向上させます。たとえば、セキュリティチームはレスポンスとサブルーチンを自動化できます。また、必要に応じてしきい値を設定することで、アイデンティティを即座にオフライン化し、内蔵のプレイブックとコネクタを使って最適なインシデントレスポンスを実行することも可能になります。
さらに、拡張性を備えたアーキテクチャを採用することで、成長する企業に優れた可用性を提供する必要があります。大規模な導入や管理で必要なリソースに大きな影響を与えることなく、成長する企業や分散型の組織全体でシームレスに拡張する機能も必要です。
また、セキュリティチームの多様性という点では、ベンダー1社のソリューションの自動化から、マルチベンダー環境のセキュリティプロセスの完全なオーケストレーションまで、さまざまなニーズに対応する必要があります。
SecOpsチームは、攻撃対象領域の拡大とリソース不足という二重のプレッシャーに直面しています。何らかの変革を行わない限り、今後も増大するリスクへの対応に苦戦を強いられることでしょう。チームやプロセスのニーズに応えるフル機能搭載の効果的なSOARソリューションは、困難な課題に取り組むセキュリティチームの成熟度を高め、組織のセキュリティプロセスの改善、最適化、強化を促進します。SOARの自動化とオーケストレーション機能を使用することで、インシデントレスポンス全体を向上できます。また、俊敏性とカスタマイズを特徴とするソリューションは、変化を続ける脅威への迅速な対応を可能にします。
困難な課題に直面するSecOpsチームは、適切なSOARソリューションを選択することにより、セキュリティエコシステムの簡素化、過剰なアラート対応の解消、レスポンスにかかる時間の短縮、リソースに制限があるSOCチームの負担軽減はもちろん、チームのコラボレーションとリスク軽減も実現できます。
FortiSOARを利用することで、SOCチームはインシデントレスポンスの加速、オペレーションの統一、過剰なアラート対応の解消が可能になります。ぜひ詳細をご確認ください。
マネージドケアプロバイダーと消費者金融のパイオニア企業がFortiSOARを活用してSOCオペレーションを合理化した事例を紹介しています。ぜひご参照ください。