組織は、脆弱性のスキャンからIDに基づくアクセス制御の適用まで、セキュリティーのライフサイクルの各段階に自動化を組み込むことで、対応時間を短縮し、全体的なセキュリティー体制とガバナンス体制を強化できます。
悪意のあるドメインのブロック、漏えいしたシークレットのスキャン、一般的な脅威の調査など、時間がかかり繰り返し発生するタスクを自動化することで、チームはより迅速かつ高い精度で脅威に対応できます。セキュリティー・チームはアラート疲れを軽減し、脅威検知やポリシーの最適化など、より戦略的な取り組みに注力できます。
IBMのデータ侵害のコストに関する調査によれば、セキュリティー自動化を使用する組織は、侵害対応に要する時間を平均で80日短縮し、侵害の平均コストをUSD 190万削減できます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
組織は通常、複数のセキュリティー自動化プラットフォームを連携させ、ハイブリッド環境全体で可視性、オーケストレーション、継続的な保護を提供します。
エンドポイントの検知と対応(EDR)ツールは、デスクトップコンピューター、ノートPCコンピューター、サーバー、モバイルデバイス、モノのインターネット(IoT)デバイスなど、すべてのエンドポイントからデータを収集しつつ、進化する脅威をリアルタイムで分析します。
セキュリティー・オーケストレーション/自動化/対応(SOAR)プラットフォームは、他のセキュリティー・ソリューションを脅威対応ワークフローに統合する中央コンソールを提供し、定型タスク、調査、修復を自動化します。
セキュリティー情報およびイベント管理(SIEM)システムは、機能横断でデータを集約し、脅威を特定し、セキュリティー・アラートを生成し、監査と報告のためのコンプライアンス文書を維持します。
拡張検知と対応(XDR)プラットフォームは、エンドポイント、ネットワーク、クラウドからセキュリティー・データを収集して分析し、自動インシデント対応を可能にします。
最近の実装では、これらのセキュリティー自動化ソリューションを、ポリシー・アズ・コードフレームワークやシークレット・スキャン機能で補完するケースが増えています。
ポリシー・アズ・コードは、ハイブリッド環境全体で一貫したセキュリティーとコンプライアンスの標準を適用するのに役立ちます。一方、シークレット・スキャンは、開発パイプラインの早い段階で漏えいした認証情報を検知します。これらのプラクティスは、機密資産をライフサイクル全体で保護し、検査し、統制することを重視する、より広範なセキュリティーのライフサイクル管理の原則に沿ったものです。
セキュリティー自動化のワークフローは通常、4つの主要フェーズで構成されます。対応プレイブックの作成、脅威の検知と分析、自動対応、インシデントの記録です。
XDRや次世代SIEMなどのプラットフォームは、このワークフローの複数のステップを担えますが、すべてを網羅することはほとんどありません。その代わりに、組織は通常、複数の中核ツールを導入し、IT環境内の統合ダッシュボードとアプリケーション・プログラミング・インターフェース(API)を通じてデータを共有します。
また、初期設定から認証情報の定期的な更新、廃止までを含む、包括的なセキュリティーのライフサイクルを支える自動化ワークフローを設計する組織が増えています。
また、開発プロセスの早い段階で漏えいした認証情報やAPIキーを検知し、本番環境に到達する前に脆弱性に対処できるよう、パイプラインにシークレット・スキャンを組み込むチームもあります。
一般的なセキュリティー自動化の導入では、次のような要素を組み合わせます。
AIやML駆動のパイプラインが一般化するにつれ、シークレット管理の徹底が不可欠になります。認証情報やトークンが意図せずモデルの学習データ・セットに取り込まれ、新たな漏えいリスクを生む可能性があります。
プレイブックは、脅威検知、調査、インシデント対応など、標準的なセキュリティー・プロセスを定義するプロセス・マップです。プレイブックは、組織’のセキュリティー・インフラストラクチャー全体にわたる複数のツール、アプリケーション、ファイアウォールにまたがり、手作業のプロセスを自動化ワークフローに置き換えます。
プレイブックは、既知の悪意のあるIPアドレスをブロックするような完全自動から、重要なシステムを切断する前に人の承認を求めるような半自動まで、さまざまです。SOARプラットフォームは、多数のツールにまたがるタスクを自動化する複雑なプレイブックの実行を得意としています。
自動化された環境では、プレイブックが複数のセキュリティー・ツールを連結するワークフローを定義し、複雑な運用を実行します。チームは脅威の緊急度を優先順位付けするセキュリティー・ポリシーを策定し、インシデントの種類ごとに自動対応を定義します。
セキュリティー自動化では、変化する脅威環境に対応するため、脅威検知に4つの主要アプローチを採用します。
セキュリティー自動化ツールは、システムの異なる側面に焦点を当てることで、検知できる脅威が異なります。
組織は、ビジネス要件とリスクレベルに基づいてセキュリティー自動化ツールを選択し、セキュリティー体制を最適化します。機密データを取り扱う企業は、フィッシング攻撃への対策としてITDRを導入したり、認証情報の漏えいリスクを低減するためにシークレット・スキャンを統合したりする場合があります。
大規模な組織では、誤検知の排除、対応の調整、攻撃対象領域全体にわたる一貫した保護の維持など、より包括的なセキュリティー・タスクを担うためにXDRを追加することがあります。
これらのシステムにポリシー・アズ・コードを組み込むことで、トラフィックのブロック、アクセス権の取り消し、暗号化の適用などの対応アクションを、環境全体にわたって一貫して自動的に実行できます。
脅威が特定されると、セキュリティー・チームはセキュリティー・インシデント対応を自動化します。これは、セキュリティー侵害を封じ込めて解決するプロセスです。
自動化システムはプレイブックの優先順位に基づいてインシデントを振り分けます。セキュリティー自動化はその後、ドメインのブロック、パッチの適用、アンチウイルス・ソフトウェアの更新、マルウェアのスキャン、データの再暗号化、利用者のアクセス権限の変更など、修復アクションを実行します。
プラットフォームの種類によって、自動化できるインシデント対応の範囲は異なります。XDRプラットフォームは一般に、影響を受けたデバイスの切断、ネットワークからの利用者のログオフ、プロセスの停止、データ・ソースのオフライン化など、幅広い対応機能を提供します。
十分な人員を配置したセキュリティー・オペレーション・センター(SOC)を持たない組織は、外部SOCスタッフを活用することで、マネージド検知と対応(MDR)プロバイダーを利用し、脅威をリアルタイムで監視、検知して対応できます。
地域や業界によっては、セキュリティー・インシデントのログ記録や文書化を特定の方法で行うことを求める法律や規制が適用される場合があります。セキュリティー自動化は、このプロセスの効率化に役立ちます。
Payment Card Industry Data Security Standard(PCI-DSS)、一般データ保護規則(GDPR)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、サーベンス・オクスリー(SOX)法などは、組織が考慮すべき標準の一例です。
SIEMシステムは汎用的なセキュリティー自動化ツールになっていますが、もともとの目的は、コンプライアンスの観点からセキュリティー・データを追跡することでした。自動レポートは、法令順守に必要なリソースを削減し、人為的ミスのリスクを軽減するのに役立ちます。
文書化ツールは、異常検知ベースの脅威検知を行うAIやMLツール向けに、データを集約するのにも役立ちます。例えば、データ侵害の発生時、SIEMは利用者、時刻、IPアドレスをログに記録し、この情報をデータレイクに保存して、さらなる分析に活用できます。その後、既存の検知ルールを改善したり、新しいルールを実装したりするために利用できます。
監査準備を進める組織では、コンプライアンス規則を自動ガードレールに変換するために、ポリシー・アズ・コードを活用するケースが増えています。このアプローチでは、コードで記述し、デプロイし、管理するポリシーが、インフラストラクチャーを常に既定でコンプライアンス準拠に保つことを支援し、ポリシー適用のバージョン管理された監査証跡も提供します。
セキュリティー自動化ツールは、セキュリティー脅威を検知して対応し、脅威ハンティング、脆弱性管理、リスク・スコアリングといった、組織のサイバーセキュリティーにおける重要要素の最適化に役立ちます。
セキュリティー自動化により、脅威ハンティングを手作業で時間のかかるプロセスから、継続的でスケーラブルな運用へと変革できます。セキュリティー・アナリストが数十のシステムのログを手作業で確認するのではなく、自動化ツールが数百万件のイベントを継続的に分析し、人の介入が必要な異常を抽出します。
例えば、NDRは現在のネットワークの挙動を過去のパターンと比較し、高度持続的脅威を示す可能性がある微細な逸脱を特定できます。この比較により、調査に要する時間を数日から数時間へ短縮できます。セキュリティー自動化ツールは、定型作業を自動化してセキュリティー・チームがサイバー脅威を直接調査できるようにすることで、SOCの脅威ハンティング能力を高めることもできます。
脆弱性管理(組織のインフラストラクチャーにおけるセキュリティー脆弱性を継続的に発見し、解消するプロセス)にも、自動化が役立ちます。
脆弱性スキャナー・ソフトウェアは、セキュリティー・システムの欠陥や弱点を自動的に評価します。スキャナーは多くの場合、SIEMやEDRなどのセキュリティー自動化ツールと連携し、修復の優先順位付けに役立ちます。
例えば、スキャナーがイントラネットにアクセスする不明なデバイスを検出した場合、その情報をEDRに渡し、EDRがプレイブックを実行して、認証が完了するまでデバイスを切断できます。
多くのプラットフォームは、パッチを自動的にダウンロードしてテストします。EDRプラットフォームが新しいパッチを自動的に展開する一方で、統合エンドポイント管理(UEM)システムは、パッチが利用者のデバイスに配布され、インストールされることを確実にするのに役立ちます。
より高度な取り組みには、トークンとキーの自動ローテーションなど、認証情報の管理徹底も含まれます。これにより、シークレットの露出を減らし、ハイブリッドクラウドとマルチクラウド規模に対応できます。
自動化は、脅威や脆弱性に数値を割り当てることで、リスク・スコアリングを強化します。
SIEMは膨大なデータを収集し、機械学習アルゴリズムで侵害と最も関連性の高いイベントを特定することで、セキュリティー・チームがリスク・スコアを算出するのに役立ちます。これらのスコアはSOARダッシュボードに統合でき、ツールや利用者が脅威の優先順位を付ける際に役立ちます。
リスク・スコアリングは、自動化が補完的に機能する領域の一例であり、すべてを自動化で完結できるわけではありません。組織のセキュリティー優先事項に合わせてスコアを運用するには、多くの場合、人の判断が意思決定に不可欠です。