現在、セキュリティリスクの増大が深刻化しています。巧妙化するサイバー攻撃への備えや、テレワークの導入に伴うIT環境への対応など、企業のIT担当者の憂慮と負担は増加の一途を辿っているといえるでしょう。そこで本記事では、こうした現状へのソリューションとして、セキュリティ運用の自動化とその実現方法について解説します。
セキュリティ運用の現状と課題
近年、企業の情報流出やサイバー攻撃被害についてのニュースを目にする機会が増えています。企業のIT担当者にとって、そうしたニュースは決して対岸の火事とはいえません。実際、増大するセキュリティリスクの対応に忙殺されている人も多いのではないでしょうか。
とりわけここ数年、企業を取り巻くIT環境は大きな変化を遂げつつあります。元々、日本は働き方改革や経営効率化の一環として、DXへの取り組みが課題となっていましたが、2020年以降で発生している新型コロナウイルス感染症の世界的パンデミックにより、こうした課題への取り組みに拍車がかかっています。
テレワーク環境の構築と運用、それらに伴う基幹系システムのクラウドサービスへの移行や、オンラインサービスの需要増に対する対応など、IT担当者は目が回るような思いをしたことでしょう。
このように、企業のIT担当者、ないしはセキュリティ担当者への業務負担は増加の一途を辿っています。サイバー攻撃の巧妙化や複雑化、そして企業の進めるDXの進度に伴って、IT担当者が対応すべきセキュリティリスクもまた、多様かつ深刻になっているからです。それだけではなく、専門的な知識やスキルを要するIT関係のセキュリティ問題は経営陣との認識にギャップが生じやすく、環境によっては苦労に反して評価がされにくい場合もあります。負担軽減のために人手を確保しようにも、IT人材はいまや引く手あまたです。人手確保もなかなか容易ではないでしょう。
実際にパロアルトネットワークスが各企業のIT関係者にアンケートした調査結果によると、セキュリティ運用における課題上位3位は、「スキル不足」「一部の人材のスキルに依存している」、「人材不足」と続いています。これらの項目に課題を感じている人はいずれも40%以上に達しており、現在のIT担当者の抱える負担の深刻さが浮き彫りになりました。(https://www.paloaltonetworks.jp/company/press/2020/palo-alto-networks-announces-results-survey-into-state-soar-use-security-operations)
増大するセキュリティリスクと業務負荷に、IT担当者が追い付かなくなっているのが、現在多くの企業が抱えるセキュリティ運用の実態といえるでしょう。
セキュリティの自動化が求められる理由
盤石なセキュリティ対策とセキュリティ体制の構築は、いまや企業における最優先課題の1つです。それは、サイバー攻撃被害を受けることで、企業に多大な経済的損失や社会的信用の失墜を与えるからです。とはいえ、既に述べたように人的リソースも限られるなかで、現場の努力に頼る形での対応にも限界がきています。そこで求められているのが、セキュリティ運用の効率化を可能にする「セキュリティの自動化」の実現です。
セキュリティの自動化によって、これまでIT担当者が手作業で行っていたセキュリティ運用の大部分の自動化や効率化が可能になります。これにより、IT担当者が抱えている過度の業務負荷や人手不足の解消が期待されます。また、そこで得た余力や時間をより高度な問題の解決や、抜本的なセキュリティ戦略の検討や実現に割り当てることが可能になるでしょう。
こうした取り組みは、現在政府が提唱している「働き方改革」の推進にもつながっています。IT業界の人手不足は、決して一過性のものではありません。人手不足という点で考えるならば、日本が抱える「少子高齢化」という深刻な社会問題と関連して、長期的に考えるべきでしょう。少子高齢化によって予想される加速度的な問題は、「深刻な働き手不足」と「AI技術をはじめとしたITによる業務の置き換え」です。
労働者人口そのものが減少する一方で、IT人材の需要はますます増大していくことが予想されます。こうした状況に備えるためには、今のうちから少ない人数でセキュリティ運用を可能にする地盤を確保する必要があり、そのためにセキュリティの自動化が必要なのです。セキュリティの自動化によって業務効率が改善され、結果としてIT担当者の就労環境が改善されれば、就職市場におけるアピール材料にもなるでしょう。
これからのセキュリティ運用に不可欠なSOARとは
前項までに解説したように、短期的にも長期的にも、セキュリティ運用を自動化する重要性は明らかでしょう。しかし、セキュリティ運用の自動化とは具体的にどういった内容を指すのでしょうか。ここでキーワードとなるのが「SOAR」というセキュリティ概念です。
SOARとは「Security Orchestration, Automation and Response」の略語で、セキュリティ運用を自動化・効率化するためのソリューションを指します。SOARを軸としたセキュリティ対策の取り組みは、アメリカを中心に発展したものですが、近年では日本でも注目されるようになりました。
SOARにおける「Orchestration」(オーケストレーション)とは、「Automation」(オートメーション)の発展概念とも言うべきものです。単一のタスクやシステムを自動化するオートメーションに対して、オーケストレーションは複数の統合されていないシステムにまたがるワークフローを自動化することを意味します。 オーケストレーションは音楽における「オーケストラ」と語源を同じくする言葉ですが、個別の楽器演奏を調和させてひとつの協奏曲ができるように、オーケストレーションは個別の自動化を連結し、セキュリティシステム全体の効率性を確保するのです。
既に述べたように、DXが進行し、ITシステムが複雑に拡大すればするほどIT担当者が確認すべきセキュリティチェックの箇所は増えていきます。この状況を改善すべくSOARを導入することで、すでに導入している各種セキュリティ対策からのセキュリティアラートはSOARによる自動処理を実現することができます。SOARはセキュリティアラートを受け取ることで、自動的に脅威を分析し、リスク評価や通信ログや脅威インテリジェンスの情報といったインシデント対応のために必要となる様々な情報の自動収集を行います。SOARのUI上にインシデントごとのチケット管理と必要な情報の自動集約を行うなど、アナリストのためのサポートを実現するツールがSOARです。つまりIT担当者は、これまで異なるシステムごとに何段階にも分けて手作業で行っていた典型的作業を一元的に自動化し、インシデント管理を効率化できるのです。
「Swimlane」で複雑なセキュリティ運用を自動化
前項ではSOARというセキュリティ概念について解説しましたが、これを実現するにはどのようなツールを導入すればよいのでしょうか。ここでおすすめしたいのが、Swimlane社によって開発され、NVCが販売するSAORツール「Swimlane」です。
Swimlaneは、セキュリティ運用のオーケストレーションを通して、企業のサイバーセキュリティをハイレベルかつ効率的に運用することができます。
Swimlaneの特長
Swimlaneはセキュリティリスクの分析・通知・対応に至るまでの一連のワークフローをオーケストレーションによって自動化します。Swimlaneは、サードパーティーのさまざまなセキュリティソリューションと連携させることで、脅威に対して自動防御をすることも可能です。これらの特徴により、企業は今まで以上に迅速且つ高精度なインシデント対応を実現します。
またSwimlaneは、企業のセキュリティイベント全体の「可視化」を実現します。これは、Swimlaneが全てのタスクをトラッキングし、ケース・レポート・ダッシュボード・各メトリックスに対する一元的なアクセスを実現しているためです。これらのSecOpsの統合と可視化は、インシデントの発生とそのレスポンスに対する情報共有プロセスを合理化します。
加えてSwimlaneのダッシュボードとメトリックスは、パフォーマンスやキャパシティなど、企業がセキュリティ運用に投じた投資へのROIを可視化します。つまりSwimlaneは、包括的なKPIの把握にも役立つのです。これらのSwimlaneの可視化機能は、企業のセキュリティ体制の包括的な評価を容易にし、さらなるセキュリティ体制の強化や業務改善のために役立つでしょう。
まとめ
本記事では、今後ますます重要性を増してくる「セキュリティの自動化」について解説しました。
サイバー攻撃が非常に巧妙化する中、DXへの取り組みとサイバーセキュリティの強化は、並行して行わなければなりません。しかし現状では、複雑に肥大化したシステムのセキュリティ管理を、人間の手作業だけで行うことには限界が近づいてきています。
人手不足を含め、顕在化している問題を解決するためには、IT担当者の業務負荷を軽減しつつ、セキュリティレベルを高めるためのソリューションである、セキュリティの自動化が必要だといえます。セキュリティの自動化に当たっては、SOARソリューション「Swimlane」の導入をぜひご検討ください。
