サイバーセキュリティ未来考

セキュリティの自動化--大量アラートに悩む状況を打開するSAOやRPA

吉澤亨史 2018年07月09日 07時00分

  • このエントリーをはてなブックマークに追加

 本連載「サイバーセキュリティ未来考」では、注目のキーワードを読み解きながら、企業や組織におけるセキュリティ対策のこれからを占う。

検知機能の向上による弊害

 企業のITシステムは膨大なログを吐き出す。一方で、進化を続けるセキュリティ機器は、これらのログを精査し、怪しいものに対してアラートを表示する。このアラートも増える一方にあり、重要なアラートが埋もれてしまいがちだ。この状況を打開する技術として、SAOやRPAが注目されている。今回はセキュリティ対策における自動化とオーケストレーションについて考える。

 サイバーセキュリティでは、以前から「攻撃者優位」の力関係が指摘されている。攻撃者は多くの攻撃ポイントから任意のポイントを選んで攻撃できるが、守る側からすれば、全ての攻撃ポイントに強固なセキュリティ対策を施すことは難しい。それでも、セキュリティ対策ベンダーの努力は実りつつある。基本的には“イタチごっこ”だが、それを繰り返すごとに検知技術は確実に向上している。

 最近は、より多くのポイントでログを収集し、それを分析することによって、攻撃などの脅威をあぶり出せるようになりつつある。具体的には、脅威の進入口となるゲートウェイ、不正な動作が行われるエンドポイント、ラテラルムーブメント(水平移動。セキュリティ用語では、攻撃者によるシステムやネットワーク内での侵入拡大や探索行為を指す)を行う内部ネットワークなどのログを収集し、SIEM(Security Information and Event Management)などで分析を行うことになる。しかし、SIEMは非常に高価だ。

 また、セキュリティ機器からのアラートも膨大になるケースが多く、その対処が問題にもなっている。トレンドマイクロの調査によると、1組織当たり月平均35万6000件以上のアラートが生成されるという。しかも、このうちC&Cサーバとの通信や内部活動といった標的型攻撃の可能性を示唆するアラートは、1組織当たり月平均778件と、アラート全体のわずか0.2%に過ぎない。

求められるアラート判断の自動化

 アラートは「しきい値」を設定できるため、これを変更することでアラートの数を減らすことは可能だ。例えば、海外で発生した標的型攻撃では、高価な検知機器を導入していたにもかかわらず、あまりにアラートが多いために企業側が対応し切れず、標的型攻撃の兆候を見過ごしていたケースがある。また、日本企業の場合は、特に誤検知を心配する。「誤検知があるなら、そもそも検知しなくていい」と言われるケースもあるといい、アラートを処理するシステム担当者の作業負荷は大きい。

 こうした状況を改善する一つの取り組みとして、連携機能を持つセキュリティ機器が増えてきた。共通の“表現ルール”を用い、APIを介して脅威情報などを共有するわけだ。複数のセキュリティ機器で脅威情報を共有し、ログの危険性を判断する。これによって危険なログを絞り込めるようになり、アラートの数を減らすとともに早急な対処が可能になる。ただし、まだ連携に必要な仕様が統一されていないため、全てのセキュリティ機器を連携させることは難しい。また、昨今ではAPIそのものの脆弱性も指摘されている。

 そこで最近は、「SAO(Security Automation and Orchestration:セキュリティの自動化およびオーケストレーション機能)」が注目を集めている。主に、機器が検知した脅威への対応作業のプロセスを自動化し、CSIRTへオーケストレーションを行うための技術だ。SAOは、既に複数のタイプがツールとして登場している。大きな違いはオーケストレーションの方法になる。CSIRTが行うさまざまな対応まで自動化するものがあれば、必要な証跡を自動的に確保した上でCSIRTの人間に引き継ぐもの、そして、対応手順のみを提供するものなどがある。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]