セキュリティ自動化は、人手を必要とせずにSecOps関連タスクを実行するためのツールを連携させるプロセスです。セキュリティに精通した人材の不足と脅威の急速な拡散の中で、攻撃者の先手を取ることが組織にとっての課題になっており、自動化の利用は防衛能力と対応能力の強化に役立ちます。自動化を、効率化されたワークフローを作成するツール間の接続レイヤーであるセキュリティ オーケストレーションと混合しないように注意してください。自動化は、セキュリティ プロフェッショナルが自動的に1つのタスクを処理するために必要となる最初のステップです。本ページでは、セキュリティ自動化の基本情報について解説しています。自動化とは何か、なぜ必要なのか、どのように役立つのか、そして実際にどのように動作するのかについて説明します。
自動化という概念は新しいものではありません。銀行アプリ、カスタマイズされたニュースフィード、今まさに実行されているコンピュータ上のバックアップなどにも見られます。私生活でもさまざまな分野で自動化のメリットを受けていますが、今日の多くのセキュリティ ツールでも、一連の反復的な手作業をまとまった自動化されたワークフローへと効率化するために、オーケストレーションと共によく使用されています。
セキュリティプロセスにはタスクで構成された長いセットが必要となり、その多くは情報を収集するためにシステムからシステムへと移り歩く必要があります。この長いプロセスには、インシデントによっては何時間も(あるいは何日間も)かかることもあります。しかし、セキュリティ自動化とオーケストレーションでは、それぞれのツールがつながっているため、指定されたタスクを自動的に完了できるようになります。これにより、手作業の大半が解消され、チームはより大きな脅威や、よりプロアクティブなセキュリティ対策に専念することができます。
自動化はセキュリティのさまざまな側面にひろがっています。防御面では防止、検知、対応、修復などをカバーします。攻撃面では、レッドチームや攻撃者は自動化を活用して脆弱性の評価を実施したり、攻撃対象の先手を取ることができます。セキュリティ監視、侵入検知システム、マネージドディテクション レスポンス(MDR)サービスなどはいずれも、セキュリティ自動化の一種を利用して異常の検知や、データの集約をおこなっています。
今日のセキュリティチームはやらなければならない膨大な作業に圧倒されており、複雑な脅威の状況に直面する際に役立つ強固なソリューションを必要としています。セキュリティ自動化ツールは、これらのよくある問題のいくつかを解決するのに役立ちます。
セキュリティに精通した人材を確保することは難しく、また、見つかった場合でも、優秀な人材が費やす時間を最大限に活用する必要があります。組織に対してより有意義に、より戦略的な形で貢献し、やりがいを感じることができれば、従業員はより組織に積極的に関与していると感じることができます。何千ものアラートを選別するような単純作業を自動化することで、脅威ハンティング、より深いフォレンジックの実施、戦略的計画の立案など、より戦略的で興味深い、価値のある作業に注意を向けることができるようになります。
人は分析や批判的思考には長けていますが、大量のデータを手作業で処理し、迅速かつ正確な判断を下すという作業には、エラーを起こしやすくなります。特に、多種多様なセキュリティシステムがある場合など、インシデントを検知、分析、および対応するためにはさまざまなシステム間を行き来する必要がある場合は、この傾向が顕著になります。インシデントに対応するまでの時間が徐々に遅くなるにつれ、攻撃者が優位に立つようになり、企業の評判と健全性が危険にさらされます。
今日では、チームが対応しなければならない脅威、考慮する必要のあるエンドポイント、警告を発するツールはこれまで以上に増えています。アラートが日常的なものとなると、チームはその量に圧倒され、侵入を許すことにつながります。セキュリティ自動化で警告プロセスを効率化することで、リソースを最大限に活用することができます。脅威の調査、エスカレーション、対応プロセスが自動化されると、作業を中断させるアラートが少なくなり、発せられるアラートは、真に考慮すべきアラートとなります。
互いに連携していない、あるいはわかりやすい形式でデータを表示しない孤立したシステムは、インシデントの早急な調査を困難にします。定期的な調査作業を自動化することで、重要なエリアに人為的な分析をおこなうことができ、細かい詳細を特定するためにログを掘りおこす必要がなくなります。
サイロ化したシステムは、データの全体像を把握し、タスクに優先順位をつけ、チーム間で情報を共有し、データに素早くアクセスすることを困難にします。自動化とオーケストレーションを利用することで、セキュリティへの取り組みを中央ハブに統合することができ、潜在的な脅威を迅速に把握し、対応する際の効率性を向上させることができます。
チームが価値の低い反復作業に多くの時間を費やしていたり、使用しているツール間の統合が不十分だったり、統合や自動化を構築するための開発リソースが不足しているのであれば、セキュリティ自動化とオーケストレーションが貴社のビジネスに適合するかどうかを確認するのに適したタイミングと言えます。
開始点として、次の5つの分野に自動化を導入することを検討してみてください。
セキュリティ自動化にはたくさんの利点がありますが、すべてを自動化することに抵抗があってもまったく問題ありません。結論をまとめて合理的に判断するためには、人間の洞察力が必要です。また、機密性の高いタスクや、マシンで関連付けることができる以上の理由が必要なタスクの場合にも、自動化は避けた方がよいでしょう。
例えば、セキュリティシステムからパスワードの失敗データやアラートを収集するプロセスはオーケストレーションと自動化で処理できますが、パスワードの失敗がブルートフォース攻撃によるものか、それとも誰かがパスワードを忘れただけなのかを判断するためには、人間の介入が必要です。また、判断した後に、IPをブロックしたり、ユーザーをサポートする際にも、人員が適切な対応をする必要があります。自動化によって、フィッシングメールの可能性があるメールにフラグを立て、対応をトリガーするというような面倒な作業を省くこともできますが、こういったタスクは人員がメールの真偽を確認した後に行うべきものです。
セキュリティ自動化により、今日の最も大きなセキュリティ問題の多くを軽減することができ、今現在そして長期的にも利益をもたらす運用効率をチームに提供することができます。