SecOpsチームのサポートに最適なSOARソリューションの選定

米国時間2020年6月24日に掲載されたフォーティネットセキュリティブログの抄訳です。

進化する脅威と新たなデジタルイノベーションを背景に、デジタル攻撃対象領域は拡大を続けています。対抗措置として、新たな多くの組織がセキュリティ機能（専用のポイントソリューションが多い）を追加していますが、セキュリティの複雑化につながっています。多くの組織が、多数のベンダーの管理、大量のアラートの調査、複数のコンソールの管理、手作業によるプロセス、増加するワークロードを管理する人材の不足に悩んでいますが、セキュリティの複雑化は、こうした状況にさらに追い打ちをかけています。

SecOps（セキュリティオペレーション）チームが限界に達しないように負担を軽減できるのが、SOAR（セキュリティオーケストレーション、自動化、レスポンス）です。

脅威の要因となるセキュリティアラートへの過剰対応

このリスクは現実に起こっており、しかも深刻です。セキュリティアナリストは現在、一日も休むことなく発生する大量のセキュリティアラートに悩まされています。この問題は、ますます複雑化し、断片化するセキュリティインフラストラクチャ（異なるベンダーの過剰な数のポイント製品）に起因しています。一例を上げると、平均的な企業では、新たな脅威やリスクに対応するために47もの異なるセキュリティソリューションやテクノロジーが導入されています。

問題の大半は膨大な量のアラートによるものですが、複数のソースから発生するアラートの追跡、調査、減災のために、SOC（セキュリティオペレーションセンター）の担当者は、大量の手作業を強いられています。このように非効率的なワークプロセスはインシデントレスポンスのプロセスを遅らせることになり、現状では1件のセキュリティ侵害の特定と封じ込めに平均で279日を要することがわかっています。

また、SecOpsという点では、サイバーセキュリティスキルはどの国でも不足しています。現在、全体の3分の2近い（65％）企業は、セキュリティオペレーションの維持に必要なスキルを持った人材の不足という課題に直面しています。

以上の要素が複雑に絡み合うことで、セキュリティ侵害を見過ごす可能性がさらに高まってしまいます。

過剰なセキュリティアラート対応を解決するSOAR

SecOpsチームは、社内にあるすべてのセキュリティツールやチーム全体で、反復的な機能のオーケストレーション / 自動化を行う機能を備え、簡単にカスタマイズできるフレームワークを必要としています。このようなフレームワークでは、過剰なセキュリティアラートが解消され、コンテキストの切り替えが少なくなります。その結果、SecOpsチームは、単なる順応ではなく、セキュリティプロセスを最適化することができます。

特に、SOARを活用することで、人による監視を必要としない煩雑で反復的なワークフローを自動化しながら、必要に応じて人による対応や承認を行うことが可能になります。最適なSOARソリューションは、脅威データを補強してコンテキストを追加する機能を備えているため、アナリストはリスクの深刻度、脅威にさらされるデータやリソースの機密性、標的になるビジネス機能の重大度に基づいて、迅速にトリアージを実行できます。

セキュリティチームを補完するSOAR

セキュリティチームのスタッフ数や組織構造はさまざまですが、同じ課題に直面しています。ITとセキュリティの両方を担当する小規模なチームの場合、ベンダーやセキュリティコントロールの数は少なく、アラート件数が限られていたとしても、1つのチームが幅広い責任を担っているため、アラート調査に割ける時間は限られてしまいます。一方で、大規模な専任セキュリティチームの場合、スタッフ数が多く、スキルセットも豊富で、作業に十部な時間を割くことができますが、対応が必要なベンダー、コントロール、アラート件数は多くなります。いずれの場合も、統合化 / 自動化された幅広い セキュリティ ファブリックと、SOARによるアラートの一元管理、オーケストレーション、自動化を組み合わせることで、あらゆる規模のチームが直面している課題を解決できます。

SOARは、統合されたセキュリティ ファブリックアーキテクチャの一部として機能するため、セキュリティのツールや機能を、1つの統合型ソリューションとしてプロセスとともに集約します。また、低レベルのティア1アラートプロセスの大部分を自動化することで、アナリストは重要度の高いタスクに専念できるようになるため、SOCチームのワークロードを効率化できるというメリットがあります。

統合型SOARソリューションの3大機能と、短期間で価値をもたらすユースケースをご紹介します。

• セキュリティワークベンチの統合：セキュリティインフラストラクチャは、マルチベンダーの多様なソリューションであったり、ベンダー1社のソリューションながら複数のコンポーネントで構成されていたり、あるいはその中間などさまざまです。統合型ワークベンチがあれば、複数のセキュリティソリューションを1つのオーケストレーションシステムへと統合し、あらゆる環境に導入可能なソリューションを構築できるため、セキュリティが簡素化されます。また、すぐに利用可能なコネクタが付属しているため、SOARをシームレスに導入し、組織全体を一元的に可視化およびコントロールできます。この統合によってエコシステムの断片化が解消されると同時にセキュリティオペレーションのプロセスが簡素化され、既存のツールを長期に渡って利用できるようになるため、購入したソリューションのROI（投資収益率）を最大化できます。セキュリティプロセス全体が一元化され、導入されたツールすべてを活用した脅威対策が可能になるため、より迅速なリアルタイムレスポンスが実現されます。
• アラートの自動トリアージ：インシデントレスポンスには時間がかかるため、次々と発生するアラートに追従し続けることは益々困難になっています。優れたSOARソリューションは、アラートを1ヶ所に集約してコンテキストを追加することにより、問題解決に要する時間を短縮します。さらに、「誤検知」によるアラートを削減し、高度なケース管理を行う機能は、調査の定義、ガイダンス、高速化を可能にします。また、アラートの取り込み、深刻度に基づく優先順位付け、タスクの割り当て、サブルーチンといったシンプルなタスクを合理化することもできます。セキュリティスタック全体でアラートを自動的に相関付けて1つのインシデントにまとめることで、トリアージ、情報の補強、調査、修復といった複雑なE2E（Exchange-to-Exchange）タスクの自動化にも対応します。このように高度な統合／自動化機能は、多くの時間と労力を要する反復作業をなくし、過剰なアラート対応を回避する上で役立ちます。その結果、セキュリティプロフェッショナルは、脅威追跡などよりも高度なセキュリティタスクに集中できるだけでなく、ワークロードを軽減し、脅威にさらされるリスクを抑制できます。
• インシデントレスポンスを加速するオーケストレーション:製品、チーム、機能に存在する無数の手動によるワークフローは、アラート調査の妨げになるばかりか、解決を遅延させる要因にもなっています。また、見過ごしたり、人為的なミスが発生したりするリスクも高まります。このような状況に陥っている組織は、運用効率の低下だけでなく、侵害リスクにもさらされます。この問題を解決するのが、SOARです。反復的なプロセスやアドホックプロセスを明確に計画できるため、連続または同時に行う重要なステップを定義することでセキュリティスタッフのガイド役となり、作業をサポートします。これにより、SOCプロセス全体の堅牢なオーケストレーションと自動化につながり、セキュリティ全体が強化されます。

SOARソリューションの役割

適切なSOARソリューションがあれば、セキュリティチームは、すべてのタスク、変更、アップデートを組織のニーズに合わせて自動化し、効率化できます。このようなSOARソリューションは、ワークフローの自動化だけでなく、セキュリティ機能全体を強化し、セキュリティを包括的に向上させます。たとえば、セキュリティチームはレスポンスとサブルーチンを自動化できます。また、必要に応じてしきい値を設定することで、アイデンティティを即座にオフライン化し、内蔵のプレイブックとコネクタを使って最適なインシデントレスポンスを実行することも可能になります。

さらに、拡張性を備えたアーキテクチャを採用することで、成長する企業に優れた可用性を提供する必要があります。大規模な導入や管理で必要なリソースに大きな影響を与えることなく、成長する企業や分散型の組織全体でシームレスに拡張する機能も必要です。

また、セキュリティチームの多様性という点では、ベンダー1社のソリューションの自動化から、マルチベンダー環境のセキュリティプロセスの完全なオーケストレーションまで、さまざまなニーズに対応する必要があります。

適切なSOARソリューションでSecOpsチームの課題を解決

SecOpsチームは、攻撃対象領域の拡大とリソース不足という二重のプレッシャーに直面しています。何らかの変革を行わない限り、今後も増大するリスクへの対応に苦戦を強いられることでしょう。チームやプロセスのニーズに応えるフル機能搭載の効果的なSOARソリューションは、困難な課題に取り組むセキュリティチームの成熟度を高め、組織のセキュリティプロセスの改善、最適化、強化を促進します。SOARの自動化とオーケストレーション機能を使用することで、インシデントレスポンス全体を向上できます。また、俊敏性とカスタマイズを特徴とするソリューションは、変化を続ける脅威への迅速な対応を可能にします。

困難な課題に直面するSecOpsチームは、適切なSOARソリューションを選択することにより、セキュリティエコシステムの簡素化、過剰なアラート対応の解消、レスポンスにかかる時間の短縮、リソースに制限があるSOCチームの負担軽減はもちろん、チームのコラボレーションとリスク軽減も実現できます。

FortiSOARを利用することで、SOCチームはインシデントレスポンスの加速、オペレーションの統一、過剰なアラート対応の解消が可能になります。ぜひ詳細をご確認ください。

マネージドケアプロバイダーと消費者金融のパイオニア企業がFortiSOARを活用してSOCオペレーションを合理化した事例を紹介しています。ぜひご参照ください。