データ分析基盤を手がける米Splunkは、2018年秋に開催したカンファレンスの中で、セキュリティ分野にフォーカスした新たなビジョン「SOC 2020」を発表した。このビジョンは、セキュリティ監視センター(SOC)での定型業務の90%を自動化するというもので、同社セキュリティ市場担当シニアバイスプレジデント兼ゼネラルマネジャーのHaiyan Song氏は、その効用を「セキュリティ人材のモチベーションにつながる」と話す。
Splunk セキュリティ市場担当シニアバイスプレジデント兼ゼネラルマネジャーのHaiyan Song氏
SOCの主な業務は、サイバー攻撃などを検知、防御するセキュリティ機器の運用、機器が発するアラートやイベントなどの解析、解析結果やその他のセキュリティ関連情報を加えた相関関係などの分析、そして分析結果をもとに脅威が疑われる事象の把握や対策の実施と、多岐にわたる。多くのSOCでは役割分担がなされ、定型業務としての調査や解析などは経験の浅い技術者が担い、その結果を経験のあるアナリストが詳しく分析し、アナリストが導き出した状況の取りまとめや対策実施などを責任者が意思決定するというフローになっている。
Splunkの打ち出すビジョンは、この中で定型業務に当たる基本的な作業の90%をツールやシステムを活用して2020年までに自動化するというものだ。それによって、SOC担当者が自身の経験や知見を生かして重要なセキュリティ事象の調査や分析に専念できる状況を実現させることを目指す。
一部のSOCは独自に自動化を試みているが、多くは人海戦術で対応している。明確にサイバー攻撃とは言い切れない事象を含めれば、セキュリティ機器が発するアラートやイベントは増大の一途にあり、手作業でこれに対応するのは事実上不可能な状態だ。セキュリティ人材は世界的に不足しているとされ、SOCにとって業務の自動化は、人材不足の観点からもここ数年来の大きな課題となっている。
Song氏によれば、このビジョンではSOCの業務基盤となるフレームワーク「Security Nerve Center」を掲げ、さまざまなツール、サービス、情報をつなげることで「OODAループ」を実現する。OODAループとは、「Observe(観察)」「Orient(方向付け)」「Decide(意思決定)」「Act(実行)」の4つの要素で構成される米空軍発祥の理論。「このOODAループを早く回すことでサイバー脅威への勝利につながる」(Song氏)
ここでは、データ、アナリティクス、オペレーションの3つがテクノロジの柱になるという。SOC 2020の具体化に向けて、2018年にはセキュリティインシデント対応ツールやサービスをオーケストレーションできるPhantomを買収、同社のテクノロジをSplunkのプラットフォームに統合し、インシデント対応における業務の自動化を進める。インシデント対応にまつわる業務のフローなどを「プレイブック」に定め、活用することで効率化と迅速化を図る。
データの部分では、Splunk元来の「マシンデータプラットフォーム」が中核をなす。IT関連システムのログに代表されるような“マシンデータ”の蓄積と分析が同社の起源であるだけに、昨今ではセキュリティ領域に限ってもサイバー攻撃情報といったインテリジェンスデータも取り込むことで、その対応範囲を広げてきた。
日本では少子高齢化に伴う人材不足を背景に、RPAなどを使って定型的な業務を自動化する試みが広がりつつある。手作業に割いていた人的リソースを高度な業務に集中させる――というのがその本質の一端だろう。サイバーセキュリティ分野も数少ない人材で、金銭を狙う無差別犯罪から国家的組織によるスパイ、生命を脅かすテロや戦争にまで対処しなければならない状況となってしまっただけに、定型的な業務の自動化は切実な課題だといえる。
「大半の業務が属人化したままという状態では、せっかく人材を獲得しても、いずれモチベーションが低下し離職してしまう。脅威対応に専念できる環境か否かがセキュリティ人材の関心事であり、CISO(最高情報セキュリティ責任者)はSOC業務の高度化が人材の獲得や維持の鍵になると考えている」(Song氏)
Splunkが掲げるSOCの定型的な業務(Tire1)の自動化率は「90%」。やや具体的でで、実際に自動化が可能な業務の内容や範囲が明確になっているともいえる
Song氏は今後、同社のマシンデータプラットフォームやPhantomのテクノロジの融合といった先でSOC 2020の具体像を示すという。
