XDR 2023.09.11

セキュリティ運用は自動化の時代！「SOAR」導入前に知っておきたい現状と課題について

SOAR

3行でわかる本記事のサマリ

企業のテレワーク・クラウドシフト等の環境変化によって、セキュリティ運用の対象が広がり、セキュリティ運用はますます負荷が拡大している。
セキュリティ運用の定常作業は自動化に頼ることで負荷を下げることが可能。
セキュリティ運用の自動化にはSOARと呼ばれる製品群を活用する。

はじめに

テレワークの普及や業務システムのクラウドシフトが今では当たり前になった結果、セキュリティ対策を実施すべき対象の拡大により、セキュリティ運用負荷が増加してその対応に追い付いていない状況の企業様も多くいらっしゃるかと思います。
このブログではセキュリティ運用負荷や運用担当者の人財不足の課題を解決するための運用自動化について解説します。

1. サイバー攻撃の現状と課題からみたセキュリティ運用の重要性

冒頭でも挙げましたが、テレワークに伴い、働き方の多様化は企業に多くの新たな価値をもたらした一方で、サイバー攻撃を行う側から見てみると、狙い目となるポイントが増え、結果として攻撃を仕掛けやすくなった状況ともいえます。また、オンプレミスに加えてクラウドシステムが増加したことも攻撃するための侵入手段の１つになり得ます。このようにセキュリティ対策を施すべき部分が一気に増えたことで、セキュリティ運用は今まで以上に重要になっていますが、企業の対応が追い付かなくなっているのも現状です。

セキュリティ運用におけるもう一つの課題は、業務の属人化です。テレワークやクラウドシフトの影響で、セキュリティ運用で実施すべきことや見るべきアラートが増えています。しかし、最新の脅威に関する幅広い知識と、高度なスキルを併せ持ったセキュリティ担当者は多くおらず、属人化が進んでいます。

2. セキュリティ運用の自動化が求められる理由

このような課題を解消させるためにいくつかの課題解決案について考えてみます。

例えば、増え続けるセキュリティ製品を改めて精査し、必要最小限に絞り込むことは1つの解決策として考えられます。ただ、これにより運用負荷は減りますが、本来防げたはずの脅威の侵入を許してしまう可能性も０ではなく、状況によっては本末転倒です。また、多種多様な対策製品が発報する大量のアラートをフィルターにかけることで、担当者の稼働を抑えることも1つの解決策として挙げられますが、こちらも同様で重大なアラートを見落としてしまう可能性があります。

そこで、解決策として出てくるのがセキュリティ運用の自動化です。一連のセキュリティ運用業務の中に存在する単純作業や反復作業をツールに代替させることで、運用の自動化を図る方法です。具体的には、『SOAR』を利用する方法です。

3. SOARとは？セキュリティ運用自動化に欠かせないツールを解説

SOARとは、Security Orchestration and Automated Responseの略で、セキュリティ運用の統合化と自動化を図ることを指します。これがどのような効果をもたらすのかを理解するには、まず一般的なセキュリティ運用のフローを把握しておく必要があります。

運用担当者は、AntiVirusやEDRなどの各種対策製品から発報されるアラートを監視して、そのアラートごとに問題の切り分けや調査を行います。その後、原因に応じた対応を実施し、例えば、脅威と思われるファイルが見つかれば隔離したり、感染端末が見つかればネットワーク接続を遮断したりします。併せて、脅威情報や脆弱性・パッチ情報を含むインテリジェンスの管理・活用も重要な業務となります。

SOAR製品は、図にも記したようなこれら一連のフローを自動化できます。これによって、定型化が可能な多くのプロセスを人手から離すことができ運用負荷を削減できるほか、特定担当者に依存しないセキュリティ運用を具現化できるようになることが見込まれます。

また、SOARではPlaybookと呼ばれるフローチャートベースの手順書に基づいて自動化を行います。このPlaybookは事前にお客様毎に設計し登録しておく必要があるため、SOAR製品は単に導入しただけですぐ活用することはできません。導入開始時に企業ごとの既存の運用フローを棚卸しして、最適な流れを再確認することにもつながります。

そのため、SOARを導入することが、セキュリティ運用フロー見直しの好機にもなります。新たな運用フローがPlaybookとして定義されて登録されるため、運用フローが可視化され、運用担当者全員が把握できるようになるのもメリットと言えます。

4. SOARツール「クラウドストライク」の特徴

このように、SOARを活用することは、多くの企業が直面しているセキュリティ運用の負荷増大、セキュリティ人材の不足といった課題の解消に向けた有効な手段となります。

自動化できる製品の中でもクラウドストライクについてどのような自動化を実現できるか紹介します。CrowdStrikeでは、機能の1つとしてSOARの機能を持つ「Falcon Fusion」を標準機能として提供しています。

CrowdStrikeは、NGAVやEDRを核としたセキュリティ統合プラットフォーム製品で、未知の脅威やマルウェアフリー攻撃に対しても独自AIの機械学習による検知・防御を実現する他、EDR機能によって侵入済みの脅威に対しても早期発見と対処を実現します。

Falcon Fusionは、このCrowdStrikeのEDRモジュールに標準装備される形で提供されており、CrowdStrikeのEDRを利用しているユーザーは、追加コストなしでFalcon Fusionを利用することが可能となります。

Falcon Fusionを利用することで、CrowdStrikeが発報するアラートから、切り分け、調査、対処までの一連のセキュリティ運用フローを管理し、自動化することができます。自動化により人手を介さない形になるため、有事の際の対応スピードも速めることが可能となります。

また、運用フローのPlaybookへの登録も簡単で、トリガーとなるアラートや、アラート内容による条件分岐、そして実施すべきアクションを、画面上のフローチャートを選択して埋めていくだけで完了できます。このように高度なプログラミングスキルが不要なので、簡単かつスムーズにSOARを使い始めていただくことができるのもFalcon Fusionの1つの特長です。

ビジネスをとりまくセいュリティ上のリスクは、どんどん増加しており、多くの企業がセキュリティ運用の負荷増大に直面してます。この課題を解決するための方法として、CrowdStrikeおよびその中でSOARを担うFalcon Fusionは、有効な選択肢になると考えています。