SOAR(セキュリティ オーケストレーション、自動化および対応)の導入状況に関する3回目の年次レポートのためDemistoでは552人のセキュリティ実務家に調査を依頼しました。
ここでの目的は、インシデント レスポンスのライフサイクルの各段階に特有の課題を見つけること、現在の製品機能がそれらの課題を克服しているかどうかを知ること、そして現在のセキュリティ製品に欠けている機能を見つけることでした。
本調査では「インシデントレスポンスのライフサイクル」を、以下にあげた内容で構成される継続的かつ周期的なプロセスとして定義しました。
- インシデントの取り込みとエンリッチメント
- インシデント管理
- 調査
- レスポンスとエンフォースメント アクション
- パフォーマンス測定
ライフサイクルの各段階では、回答者に次のことを尋ねました。
- 使用しているツール
- ツールに欲しい機能
得られたデータからは、セキュリティ担当部門が自動化の力を実感しつつある様子が浮かんできました。また回答者の間には、自動化・オーケストレーションによるインシデント レスポンス支援への明確なシフトが見られ、こうしたシフトが見られなかった分野であっても、自動化と製品間の協調の必要性が説かれました。
本稿では同レポートでの主な調査結果を箇条書きにしています。本稿末尾には、全レポートへのダウンロードリンクを用意しています。
セキュリティ部門は自動化を進めたがっている
今回の調査では「自動化を前向きに検討している」、「今日の効率的なインシデント レスポンスには自動化が必要である」という共通認識が見られることが明らかになりました。このほか本レポートから得られた知見を以下に共有します。
- プレイブックの自動化が進みつつある: 回答者の50%以上が、すでに自動化されたプレイブックを使用しているか、自動化されたハンドブックと手動のプレイブックを組み合わせて使用して、インシデント レスポンス プロセスを実装していました。これは、セキュリティ製品全体を調整する自動化と、標準化されたインシデント レスポンス プロセスへの明確なシフトの表れといえます。
- セキュリティ部門は信頼性の高いデータを求めている: ライフサイクルの「インシデントの取り込みとエンリッチメント」段階では、回答者の56%がツールに欲しい機能のひとつとして「データ エンリッチメントの自動化」をあげました。これに僅差で続いたのが「アラートの自動優先順位付け(47.8%)」と「製品全体のアラート/インジケータの相関(47.5%)」です。ここからは、セキュリティ部門が「より信頼性の高いデータを手にすることで意思決定に必要な時間と情報を増やしたい」と考えていることがわかってきました。
- オペレーション改善の自動化が望まれている: 回答者の約61%が「セキュリティオペレーションを改善するための推奨事項を機械学習によって示してほしい」と回答しました。また、この機能が自社のセキュリティ製品に既に存在すると主張した回答者はわずか30%でした。このようにセキュリティの効果測定を倍速で改善してくれるツールが適切に実行されれば、セキュリティ部門はより多くの時間を本当に重要な意思決定のために使うことができるようになります。
- SOARはインシデント レスポンスに違いをもたらす: 回答者の約60%が「異種セキュリティ製品で手動による更新やブロックを実施する必要がある」と回答していました。これに対し、SOARを利用している回答者の約61%が「異種ポイント製品間であっても手動による更新処理は必要ない」と回答していました。つまり、SOARツールを使うことにより、対応の自動化、標準化に向けて針が動いたということになります(図1)。
隠れたセキュリティ上の課題
今日のセキュリティ部門が抱える課題については(残念ながらというべきか)すでに多くのかたの知るところとなっています。アラートの数は天井知らずに増え続け、セキュリティ スキルの高い人材は著しく不足し、系統立っていない運用プロセスでなんとかやりくりしている状況がつづいているため、今のセキュリティ部門は非常に働きづらい場所です。実際、こうした課題が大きく幅を利かせているせいで、同じぐらい厄介な別の問題はともすれば見過ごされがちです。
以下に、本レポートで明らかになったこの「厄介な別の問題」についてあげていきます。
- 製品間のサイロ化が依然として続いている: 回答者の約50%は、インシデント レスポンスに6つ以上の異なるセキュリティ ツールを使用しています。多くの場合、こうした環境でアラートへの対応を行うと、複数のタブ、UI、製品コンテキストを常に行ったり来たりすることになります。この結果、時間がかかり、ミスが発生しやすくなり、作業環境に対する不満がたまります。
- セキュリティ対応にチーム間調整が必要: インシデント対応時のセキュリティ部門はIT部門(85%)、ネットワーク運用部門(53%)、DevOps部門(39%)と頻繁にやりとりする必要が生じます。これらのチーム間での調整には、ボトルネック、部門間プロセスのばらつき、ドキュメントの書式のばらつきなどがつきものです。
- 一人で何役もこなさなければならない: セキュリティ部門のスタッフは、ステロイドでドーピングしたカメレオンのように、目の前にあるタスクに合わせてコロコロ自分の役割を変えねばなりません。インシデント対応とは別に、あるときは脆弱性管理(71%)、あるときはコンプライアンス チェック(61%)、またあるときはクラウド セキュリティ(41%)の監督を行わねばなりません。
SOARは今後どこへ向かうのか
- SOARツールがインシデント レスポンス ライフサイクルのすべての段階で使われる: SOARツールは、「インシデント レスポンス ライフサイクルの各段階で使用される一般ツール」として順調にその割合を増やしてきています(各段階で28%から約34%の範囲を占める。図2)。今後はSOARツールの提供する価値を理解した組織が増えるほどに、この割合の増加スピードはますます上がるものと予測されます。
- SOARツールは標準化を促進し、より多くのガイダンスをユーザーに提供する方向に進化する: 回答者のほぼ54%が「業界ごとのレスポンス テンプレートが必要」とし、47%が「ベンダからベストプラクティス プレイブックを提供してほしい」という要望を抱えていました。SOARベンダを評価する際は「すぐ使用できるコンテンツ」と「カスタム コンテンツを作成できる柔軟さ」のバランスに優れたツールにセキュリティ部門は魅力を感じる傾向がありました。
- SOARツールはその汎用性を強みにユースケース拡大に向かう: セキュリティ部門がいかにインシデント レスポンス以上の役割を担っているかについてはすでに述べたとおりですが、これにくわえ、回答者の約62%が「侵害通知法が日常業務に影響している」と回答しました。SOARツールには拡張可能な製品統合、ドラッグ&ドロップできるプレイブック、APIによる自動化機能が備わっていますので、こうした「ちょっと本流から外れたユースケース」であっても、現在のインシデント レスポンスというユースケースでのデプロイと同じくらい効果的にデプロイすることができます。
本稿の元になったレポートは、こちらからダウンロードできます(英語)。このほか、「セキュリティ オーケストレーション、自動化および対応」についてもっと詳しく知りたいかたは、ぜひ次のeBookをダウンロードしてください。Security Orchestration for Dummies (英語)。