毎年、夏の時期になると世界中のセキュリティ専門家やハッカーと呼ばれる技術者がアメリカのラスベガスへ集まります。この時期に開催されるイベントの一つ、Black Hat USAについて「セキュリティ最前線レポート」として3回に分けて連載します。
今回は、増加するサイバー攻撃の対策として効果が期待される「自動化」についてご紹介します。
※本記事は、2018年9月6日に公開された記事を一部再編集しております。
セキュリティオーケストレーション&オートメーション
今年のBlack Hat USAの特徴のひとつとして、多くの企業(ベンダー)が『セキュリティオーケストレーション&オートメーション』(SOA)というキーワードを掲げて製品やソリューションをアピールしていた点が挙げられます。ちょっと聞きなれない言葉ですが、セキュリティ運用を統合し、かつ自動化する、という意味です。
オーケストレーションという言葉そのものにICT業界では、システムなどの構築や運用管理を自動化する、という意味があります。オートメーションという言葉を続けることで、自動化ではなく統合という意味で使われていました。Black Hat USAはSOAに対応した製品やソリューションを各社がアピールしており、今年になって一気に出揃ってきた印象です。
昨年は、インターネット上に存在するのに検索サイト経由でアクセスすることができないディープウェブ上でやり取りされる脆弱性情報や犯罪に用いるツールなどの闇取引に関する調査サービスや、調査結果を基に対策を提案するサービスが中心で、SOAを掲げるベンダーはそれほどいませんでした。
SIEMよりも自動化の進んだSOA
SOAとよく似たものに、SIEM(Security Information and Event Management)製品があります。SIEM製品とはインシデントが発生した際に複数のセキュリティ製品で検出したイベント情報を集約し、そこから次に実行すべきアクションや対応するための判断材料を導き出すシンプルなワークフローを提供する製品のこと。例えば、複数のセキュリティ製品で攻撃と判断したら、ブラックリストへ追加する、というアクションであれば、SIEM製品でも可能です。
SIEMとSOAは一見よく似ていますが、SOAは複雑なワークフローや状況の高度な見える化による判断支援などの機能が提供される点が大きく異なります。サイバー攻撃が増え続ける現状では既に多くの組織で対応可能な人材のリソースが限界に近付いていることを考えると、現在の多少自動化していても実質的に人海戦術に近い状況のSIEMよりSOAはさらに先をいった製品といっていいでしょう。
例えば、マルウェアが添付されたメールを受信し、実行してしまった場合、実行した端末の情報と、端末が繋がっているネットワーク情報、マルウェアがどのような挙動をしたのか、などの情報を迅速に整理し、メール向けのセキュリティ製品側へ検出ルールを反映した上で、過去の通過情報から類似するメールが他のユーザーが受け取っていないかを検査するといったインシデントに関連するセキュリティ運用作業は、手作業で行われていることが多いのが現状です。
これらの作業をインシデント情報の統合管理から対応までの自動化、あるいは、対応するための判断材料となる分析情報の提示まで行えるようにする製品やソリューションが展示されていたのが印象的です。
ちなみに、端末を管理する製品やネットワーク管理ツール、各種セキュリティ製品の多くが他ベンダーやユーザーに向けて、各製品から情報を取得・連携するための機能を公開しています。そのため、ひとつの製品でSOAを実現するのではなく、足りない部分は自社の他製品や他ベンダー製品の機能と連携することでSOAを実現すると割り切っているベンダーが多いのは海外らしいと言えるかも知れません。
セキュリティは投資領域
今回取り上げたSOAという自動化に向けたトレンドは、サイバー攻撃の増加に伴う対応リソース不足に対する市場全体の危機感を表したものといえます。しかし、日本においては、未だにセキュリティ対応はコストと捉えた上で、人に頼った運用を行い、現場が必要とする投資を行っていない組織が少なくありません。
また、現在投資を計画していても、セキュリティ製品間での連携に追加投資が発生するリスクを認識できていない組織も少なからずあるかと思います。
さて、次回のセキュリティ最前線レポートは、「フィッシング」について取り上げます。
デジタルリスクラボ編集部
デジタルリスクラボは、株式会社エルテスが、デジタルリスクから「企業成長」と「個人のキャリア」を守るためのメディアとして運営。株式会社エルテスが提供するデジタルリスク対策サービスは、こちら。
