サイバーセキュリティ未来考

セキュリティの自動化--大量アラートに悩む状況を打開するSAOやRPA

吉澤亨史

2018-07-09 07:00

 本連載「サイバーセキュリティ未来考」では、注目のキーワードを読み解きながら、企業や組織におけるセキュリティ対策のこれからを占う。

検知機能の向上による弊害

 企業のITシステムは膨大なログを吐き出す。一方で、進化を続けるセキュリティ機器は、これらのログを精査し、怪しいものに対してアラートを表示する。このアラートも増える一方にあり、重要なアラートが埋もれてしまいがちだ。この状況を打開する技術として、SAOやRPAが注目されている。今回はセキュリティ対策における自動化とオーケストレーションについて考える。

 サイバーセキュリティでは、以前から「攻撃者優位」の力関係が指摘されている。攻撃者は多くの攻撃ポイントから任意のポイントを選んで攻撃できるが、守る側からすれば、全ての攻撃ポイントに強固なセキュリティ対策を施すことは難しい。それでも、セキュリティ対策ベンダーの努力は実りつつある。基本的には“イタチごっこ”だが、それを繰り返すごとに検知技術は確実に向上している。

 最近は、より多くのポイントでログを収集し、それを分析することによって、攻撃などの脅威をあぶり出せるようになりつつある。具体的には、脅威の進入口となるゲートウェイ、不正な動作が行われるエンドポイント、ラテラルムーブメント(水平移動。セキュリティ用語では、攻撃者によるシステムやネットワーク内での侵入拡大や探索行為を指す)を行う内部ネットワークなどのログを収集し、SIEM(Security Information and Event Management)などで分析を行うことになる。しかし、SIEMは非常に高価だ。

 また、セキュリティ機器からのアラートも膨大になるケースが多く、その対処が問題にもなっている。トレンドマイクロの調査によると、1組織当たり月平均35万6000件以上のアラートが生成されるという。しかも、このうちC&Cサーバとの通信や内部活動といった標的型攻撃の可能性を示唆するアラートは、1組織当たり月平均778件と、アラート全体のわずか0.2%に過ぎない。

求められるアラート判断の自動化

 アラートは「しきい値」を設定できるため、これを変更することでアラートの数を減らすことは可能だ。例えば、海外で発生した標的型攻撃では、高価な検知機器を導入していたにもかかわらず、あまりにアラートが多いために企業側が対応し切れず、標的型攻撃の兆候を見過ごしていたケースがある。また、日本企業の場合は、特に誤検知を心配する。「誤検知があるなら、そもそも検知しなくていい」と言われるケースもあるといい、アラートを処理するシステム担当者の作業負荷は大きい。

 こうした状況を改善する一つの取り組みとして、連携機能を持つセキュリティ機器が増えてきた。共通の“表現ルール”を用い、APIを介して脅威情報などを共有するわけだ。複数のセキュリティ機器で脅威情報を共有し、ログの危険性を判断する。これによって危険なログを絞り込めるようになり、アラートの数を減らすとともに早急な対処が可能になる。ただし、まだ連携に必要な仕様が統一されていないため、全てのセキュリティ機器を連携させることは難しい。また、昨今ではAPIそのものの脆弱性も指摘されている。

 そこで最近は、「SAO(Security Automation and Orchestration:セキュリティの自動化およびオーケストレーション機能)」が注目を集めている。主に、機器が検知した脅威への対応作業のプロセスを自動化し、CSIRTへオーケストレーションを行うための技術だ。SAOは、既に複数のタイプがツールとして登場している。大きな違いはオーケストレーションの方法になる。CSIRTが行うさまざまな対応まで自動化するものがあれば、必要な証跡を自動的に確保した上でCSIRTの人間に引き継ぐもの、そして、対応手順のみを提供するものなどがある。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]