セキュリティ製品から送られてくる膨大な量のアラートを 「SOAR」で自動化、工数を削減し属人化も解消

【ユースケース】SOARソリューション「Splunk SOAR」
製造業F社

グローバル規模でビジネスを展開する製造業F社では、日に日に複雑化・巧妙化するサイバー攻撃から企業の機密情報を守るため、最新のセキュリティ製品を次々に導入してきました。しかしその結果、各製品から膨大な量のアラートが送られてくるようになり、SOCの対応が追いつかなくなってしまったのです。そこで、F社はマクニカネットワークスから「Splunk SOAR」を導入。アラートやインシデントへの対応を、他のセキュリティ製品とのコラボレーションまで含めて自動化することで、工数を大幅に削減し、作業の属人化も解消しました。

セキュリティ製品で守りを固めたつもりが、アラートの波が押し寄せてきた？

製造業の分野では我が国を代表する企業のひとつであるF社。F社の高い技術力と豊富なノウハウは、国内外の企業から高く評価されています。しかし一方で、F社の持つ知的財産はサイバー犯罪者の絶好のターゲットとなっており、これまでにもさまざまなかたちで攻撃を受けてきました。

幸い、過去に大きなトラブルには見舞われなかったものの、サイバー攻撃が日に日に複雑化・巧妙化していく状況を憂慮したF社は、これに対応するためセキュリティ製品を次々に導入。しかし、これは同時に別の課題を生み出すことになしました。SOC （Security Operation Center＝サイバー攻撃の検出や分析、対応を行う専門部署）への過大な負荷の発生です。導入する製品が増えたため、そこから送られてくるアラートの量も膨れ上がり、既存の人員ではとても対応できなくなってしまったのです。
「当社では3名のスタッフでSOCを運用していましたが、次から次へと上がってくるアラートを処理するには、とても足りるものではありませんでした。また、アラートへの対応には専門知識が必要で急な増員も難しく、逆に業務の属人化が進んでしまっていたのです。このままでは運用が回らないだけでなく、大量のアラートの中に本当に危険なものが埋没してしまい、重大なインシデントが起きてしまうリスクもありました」（F社）

膨大な量のアラートへ対応するため、「Splunk SOAR」を導入

そこでF社は5年ほど前から、SOCの負荷軽減を目的に解決策を模索。いくつかのベンダに問い合わせた結果、ログプラットフォーム「Splunk」のSOARソリューションを導入しました。SOARとは「Security Orchestration and Automated Response」の略で、セキュリティ製品の連携、タスクの自動化による運用効率の向上を実現するものです。

「Splunk SOAR」は、WorkbookとPlaybookの2つの機能によってSOCの業務を自動化することが可能です。アラートへの対応では、まずWorkbookを作成します。これは、インシデント対応のマニュアルをチェックリストのように電子化したもので、アラートの種別ごとに作成することで、SOARが取り込んだアラートに対応すべきアクションがわかるようになります。Playbookは、インシデントが発生した際の対応手順をプログラム化したものです。発生したインシデントに対し、その変数を取り込んで二次調査や判断・承認、対処に至るまで自動的に処理することが可能になります。

F社はSplunk SOARのPoCを行ったのち、採用を決定しました。
「決め手となったのは優れた機能に加え、以前から当社がSplunk製品を使用していたこともありますが、マクニカネットワークスのSplunk製品に対するナレッジの深さや手厚いサポートも大きかったですね」（F社）

アラート対応に要する工数を1/3まで削減

F社ではマクニカネットワークスの協力のもと、さまざまなWorkbook、Playbookを作成していきました。Workbookでは、例えばエンドポイントのPCがマルウェアを検知したというアラートを発した場合、SOCがアラートを受けて起票し、未検疫の場合は経営層やセキュリティ対策部にエスカレーションして緊急対応を求めます。検疫済みの場合には、各業務システムの担当者にセキュリティスキャンの指示や連絡を行います。

さらにSOCでは、検知情報をもとに不審なサイトへのアクセスがないか履歴を確認したり、検知したサイトをVirusTotalで調査したりします。スキャンの結果が出たら経営層やセキュリティ対策部に連絡し、対応計画の作成・実施といった判断を仰ぎます。必要があれば対策の実施を各業務システムの担当者に依頼し、完了したら経営層やセキュリティ対策部に報告を行ってクローズします。

F社はこうした一連のアラート対応を、受付・登録、調査、対応計画・実施といったフェーズごとにタスクを設定しWorkbookを作成することで、受付から調査、対応の要・不要まで、ほとんどの対応を標準化することができました。同様に、Playbookではインシデント対応の多くの業務を、他の製品と連携して調査を実施し、結果はメールで受け取ることができます。これにより、必要最小限の対応が可能となり、工数の大幅な削減につながりました。
「今回の導入で、全体の工数を1/3に削減することができました。特にメールアラートの対応は、以前は30分ほどかかっていたものが40秒で処理できるようになっています。これにより、スタッフは空いた時間を使ってより重要度の高い業務へ取り組めるようになりました。また、自動化で対応した内容はログで確認したり、レポートを出力したりすることもできるので、経営層などへの説明もしやすくなりました」（F社）

F社では今後、Playbookのパターンを増やし、さらに自動化を進めていきたいとしています。また、Splunk SOARの自動化の対象は、セキュリティ分野に限りません。今後はSOCだけでなくNOC（Network Operations Center＝通信ネットワークを管理・運用する専門部署）の業務も自動化するなど、他の分野でも業務の効率化を推進していく予定です。

サイバー攻撃の脅威へ対抗するため、さまざまな種類のセキュリティ製品が登場していますが、これらを導入・運用するとなると当然スタッフの負荷も大きくなります。SOCのリソース不足に課題を感じている方は、Splunk SOARの導入を検討してみてはいかがでしょうか。

「SOAR」は魔法の自動化ツールなのか？失敗しないセキュリティ運用自動化への道

▼セミナー案内・ブログ更新情報 配信登録