セキュリティの自動化の定義

セキュリティの自動化とは、人間による介入を抑えながら、エンドポイントのスキャンやインシデント対応といった、定期的に行われるITセキュリティタスクをテクノロジーを使用して実行することです。これにより組織は、人為的ミスの削減、効率の向上、精度の向上といった、自動化による一般的なメリットを得ると同時に、全般的なリスクの減少、インシデント対応時間の短縮、将来的に組織を保護するためのより強固な防御の構築も実現できます。

セキュリティ自動化プラットフォームとは

セキュリティ自動化プラットフォームとは、ネットワーク、エンドポイント、アプリケーション、クラウドインスタンス、コンテナなど、IT環境のあらゆる要素に関するセキュリティプロセスとアクティビティを統合し、自動化するソフトウェアソリューションです。

また、セキュリティ自動化プラットフォームは、ファイアウォール、ウイルス対策、ディレクトリサービス、その他のアセットなど、他のセキュリティツール、アプリケーション、およびシステムと統合することもできるため、組織は一元化された単一のダッシュボードでIT環境全体をモニタリングできるようになります。

セキュリティ自動化プラットフォームで実行できる活動

自動化ツールを使用して、さまざまなセキュリティタスクと活動を管理できます。例えば、次のようなものがあります。

• プレイブックの作成：セキュリティ自動化プラットフォームは、セキュリティチームによって作成されたプレイブックまたは既存のテンプレートに従って作成されたプレイブックに基づきます。このプレイブックは、さまざまなシナリオでシステムが従うワークフロー、およびさらに詳しく評価するためにセキュリティチームに渡されるワークフローを定義する際の指針として使用されます。
• 脅威の調査：AI対応ツールは、ネットワークをモニタリングして異常な動作を検出し、調査が必要な高リスクの活動や疑わしい活動をセキュリティチームに通知します。
• インシデント対応：セキュリティツールは、イベントの状況に応じてシステムの対応を決定するルールおよびアルゴリズムに基づきます。対応には、侵害の広がりを防ぐためのデバイスやアプリケーションの隔離、疑わしいファイルの削除、悪意のあるURLのブロックなどがあります。
• エンドポイントの保護：エンドポイント保護プラットフォーム (EPP) は、デバイスのモニタリングおよびインシデントの調査と修復を自動化することができるセキュリティツールです。
• 権限の管理：プラットフォームでは、アカウントのプロビジョニングとプロビジョニング解除、および変更や新しい権限の依頼の管理を自動化することもできます。
• レポートとコンプライアンス：セキュリティ自動化プラットフォームでは、定期的なロギングとレポート活動を管理することや、組織が関連する規制を遵守するために追加の手順を実行する必要があるインスタンスにフラグを立てることもできます。

一般的には、タスクが反復可能であれば自動化できます。ただし、この場合の自動化とは自律的という意味ではないことに注意する必要があります。多くのサイバー攻撃活動はテクノロジーによって対処できますが、その場合でも、脅威アナリストやインシデント対応担当者などの人間のセキュリティ専門家のチームが、自動化されたツールセットによって生成されたデータとアラートを基に対応する必要があります。

セキュリティの自動化の必要性

この数年間で、サイバー攻撃はより頻繁に発生し、巧妙化して、解決にコストがかかるようになりました。実際、多くの攻撃者が自動化を利用して同時に複数の攻撃を実施し、成功確率を高めています。

それと同時に、多くの組織でIT環境が複雑化しています。特にこの3年間は、多くの企業がパンデミックの最中に事業運営を継続するために、リモートワーク機能を急速に拡大したことでIT環境が複雑になりました。この無秩序に広がる境界のないネットワークに、個人デバイスが流入したことも合わさり、ITチームとセキュリティチームにとってのリスクと複雑さが大幅に増大しています。

サイバー攻撃のリスクを最小限に抑え、侵害発生時の損害を抑えるために、組織はインシデントの検知、対応、修復時間を大幅に増やす必要があります。そのため、セキュリティの自動化が必要になっています。

セキュリティ自動化プラットフォームによって、組織はテクノロジーを利用して定期的なセキュリティタスクを実行できます。このようにすると、人為的ミスが減り、IT担当者がより価値と優先順位が高い業務に専念できるようになります。また、セキュリティポリシーを一貫して継続的に適用することもできます。

ゼロトラストは解決策になるか

多くのIT環境で複雑さが増し、サイバー攻撃のリスクが増大していることから、多くの組織は防御を強化するためにゼロトラストモデルに注目しています。

ゼロトラストとは、組織のネットワークの内外を問わず、すべてのユーザーを認証、承認し、セキュリティ設定とセキュリティポスチャについて継続的に検証したうえで、アプリケーションやデータへのアクセスを許可または維持するセキュリティフレームワークのことです。

ゼロトラストは、現在の最新のデジタル変革に対応する、インフラストラクチャとデータを保護するためのフレームワークです。リモートワーカーの確保、ハイブリッドクラウド環境、ランサムウェア攻撃など、今日のビジネスに関わる最新の課題に独自に対処します。

セキュリティの自動化の利点

セキュリティの自動化の利点は、あらゆる種類の自動化の利点と同様です。つまり、テクノロジーを利用して、チームが定型タスクをより効率的に実行できるようになり、ミスを犯す確率が減少することです。情報セキュリティチームの職務に関して具体的に言えば、セキュリティの自動化は次のような利点をもたらします。

• 脅威検知の改善：高度なテクノロジーを利用することで、脅威検知の速度と精度が高まるため、チームは侵害の痕跡 (IOC) と攻撃の痕跡 (IOA) の両方をより迅速に特定できます。
• 自動の封じ込めと軽減：組織のセキュリティプレイブックに記載されている特定のセキュリティイベントに対応するようにアルゴリズムをトレーニングして、最小限の人間による介入で、プラットフォームツールによって攻撃を封じ込めたり、時には解決したりできるようにします。
• 対応時間の短縮：組織がインシデントをより迅速に検知して、一部の問題を自動的に解決できるようになるため、チームは注意が必要なイベントに迅速かつ正確に対応できます。
• 労働力の最適化：自動化ツールによって定期的に行われる定型セキュリティタスクを管理することで、従業員が優先度の高い業務に専念できるようになります。さらに、より正確で的確なモニタリングおよび検知ツールによって、人間による調査が必要なセキュリティアラートの数が減少します。
• セキュリティポリシーの一貫した適用：自動化されたツールによって、セキュリティルールとポリシーが一貫して継続的に適用され、実施されるようになります。
• コスト削減：組織がセキュリティ自動化プラットフォームを利用するには技術への投資が必要ですが、一般的にはこのプラットフォームにより、事業の総運用費が削減されます。これは、人件費の削減やその他の効率化対策などによる直接的な費用削減や、平均修復時間 (MTTR) の短縮やその他の重大なインシデントのメトリックなどの二次的なメトリックで見られます。
• コンプライアンスの強化：自動化ツールを利用してレポート生成とコンプライアンス活動を管理することで、規制に関する複雑さとリスクが軽減されます。

3種類のセキュリティの自動化

セキュリティの自動化は、さまざまな形で行われます。最も一般的なセキュリティ自動化ツールを以下に示します。

1. SOAR（セキュリティのオーケストレーション、自動化と対応 ）

SOAR（セキュリティのオーケストレーション、自動化と対応 ） は、組織のサイバーセキュリティポスチャを強化するために開発されたソフトウェアプログラムの集合体です。SOARプラットフォームを利用することで、セキュリティアナリストチームは、セキュリティ情報および管理システム、脅威インテリジェンスプラットフォームといったさまざまなソースからのセキュリティデータをモニタリングできるようになります。

2. セキュリティ情報およびイベント管理 (SIEM)

セキュリティ情報およびイベント管理 (SIEM) は、セキュリティイベント管理 (SEM) とセキュリティ情報管理 (SIM) の機能を組み合わせた一連のツールとサービスであり、環境のあらゆる部分からデータを取得し、それを一元化された単一のプラットフォームに集約することで、悪意のあるアクティビティを可視化します。これを使用して、関連性の高いアラートを絞り込み、レポートを作成し、インシデント対応をサポートできます。あらゆるネットワークアプリケーションとハードウェアから取得したデータをいつでも分析できる機能により、組織は潜在的なセキュリティ脅威が業務に支障をきたす前に、脅威を認識することができます。

3. XDR（拡張検知・対応）

XDR（拡張検知・対応） は、これまでサイロ化していたセキュリティツールから脅威データを収集し、組織のテクノロジースタック全体で、より簡単かつ迅速に調査、脅威ハンティング、および対処を行うものです。XDRプラットフォームでは、エンドポイント、クラウドワークロード、ネットワークEメールなどからセキュリティテレメトリを収集できます。

自動化できないセキュリティプロセス

セキュリティ自動化プラットフォームはさまざまな活動に対応していますが、確立されたユースケースであっても、その多くが人間のセキュリティの専門家による監視が必要となることを覚えておくことが重要です。

また、マシンに任せるべきではないセキュリティタスクもあります。例えば、次のようなものがあります。

• 脅威モデリング：脅威モデリングは、情報システムに対する脅威とリスクを評価し、それぞれの脅威が成功する可能性を特定し、特定された各脅威に対応する組織としての能力を評価します。最終的にモデルを適用するのはテクノロジーですが、モデルそのものの開発はセキュリティの専門家のチームが監督する必要があります。
• 脅威ハンティング：脅威ハンティングとは、ネットワーク内で検知されずに潜んでいるサイバー脅威をプロアクティブに検索する方法です。脅威のモニタリングにはマシンが重点的に使用されますが、ハンティングリードの分析は、攻撃者の活動の兆候を特定することに長けた人間の脅威ハンターが行います。
• ペネトレーションテスト：ペネトレーションテストは、実際のサイバー攻撃をシミュレートすることで、組織のサイバーセキュリティ能力をテストし、脆弱性を明らかにします。このプロセスは自動化できる部分もありますが、最も効果的にテストを実施するには、人間のセキュリティの専門家や倫理的ハッカーを利用します。
• レッドチーミング/ブルーチーミング：軍事訓練演習をモデルとしたレッドチーム/ブルーチーム演習では、高度な訓練を受けたサイバーセキュリティ専門家で構成された2つのチームが対決します。レッドチームは実際の攻撃者の手法を使用して環境の侵害を試みます。ブルーチームは、セキュリティユニットで業務にあたるインシデント対応担当者で構成され、侵入の特定、評価、対応を行います。ペネトレーションテストと同様に、レッドチーミングには人間のセキュリティ担当者や倫理的ハッカーが関与する必要があります。

セキュリティの自動化の5つのベストプラクティス

1. 明確な戦略を設定する

すべてのテクノロジーへの投資は、組織のより大きなITおよびセキュリティの目標に沿って行われる必要があります。ITおよびセキュリティの責任者は、自分たちの課題と目標を定めるとともに、ツールによってその目標を達成する方法を決定しなければなりません。すべての組織の戦略は、ビジネスのニーズと発生しているリスクの程度に基づいて決定されることを覚えておくことが重要です。これは、組織の業界、場所、規模、アセット、イベントの履歴などのさまざまな要因の影響を受けます。

2. 評判の良いセキュリティパートナーを見つける

あらゆるサイバーセキュリティの課題と同様に、評判の良いセキュリティパートナーと協力することで、一般的に自動化プロセスはより簡単で効率的になります。会社の業界、ニーズ、目標に関連した経験を持つパートナーを選ぶことが理想的です。

3. 自動化ユースケースを定義し、優先順位を付ける

今日のテクノロジーは日常業務の大半を自動化できますが、高いROIを実現するユースケースを優先することが重要です。多くの場合、自動化の最も理にかなった使用方法は、比較的単純で頻繁に発生するタスクを管理することですが、組織は限られたリソースを浪費するタスクや、解決に最も時間がかかるタスクを優先することもできます。

4. 一貫性を確保するためのプレイブックを確立する

すべての自動化は、明確に定義されたルールおよびプロセスに基づきます。タスクを自動化するためには、組織は活動に関連するすべての情報、手順、および起こりうる事態を文書化した対応するプレイブックを作成する必要があります。これは、セキュリティポリシーを一貫して適用し、実施するための鍵となります。

5. 機能性とROIを向上させるために従業員のスキルを高める

自動化ツールは人間が以前に実行したタスクを実行するようにトレーニングできますが、人間に対してもこれらの新しいツールの使用方法を学ぶための研修を行う必要があります。適切な変更管理と教育プログラムが実施されない場合、自動化ツールの機能性とROIが低下する可能性があります。

クラウドストライクによるセキュリティの自動化

CrowdStrike Falcon® Fusionは、ITおよびセキュリティワークフローのオーケストレーションおよび自動化の統合されたクラウドスケールのフレームワークです。

CrowdStrike Falcon® Fusion SOARフレームワークは業界最先端のCrowdStrike Falcon®プラットフォームと統合されており、企業はこれを使用して、関連情報を多く含むデータを収集し、セキュリティ運用、脅威インテリジェンス、インシデント対応をすべて単一のプラットフォームの同じコンソールから自動化し、サイバー脅威と脆弱性を軽減することができます。

組織の以下の目的にクラウドストライクがどのように役立つかを知りたい場合は、無料トライアルにお申し込みください。

• 複雑なワークフローのオーケストレーションと自動化
• セキュリティ運用の簡略化
• インシデントのトリアージとリアルタイム対応の迅速化
• コストとリソースの削減