SOC アナリストのオンボーディングを改善する SOAR ソリューションの 5 つの特徴

※この投稿は米国時間 2022 年 7 月 28 日に、Google Cloud blog に投稿されたものの抄訳です。

編集者注: このブログは Siemplify によって 2021 年 2 月 19 日に公開されたものです。

未対応のサイバーセキュリティ業務が膨大な数にのぼり、すぐに欠員を補充できないことが重大な問題になっています。

業界団体 ISACA による調査では、サイバーセキュリティ関連のポジションに欠員が出たままになっている期間は、平均 6 か月間であることが明らかになりました。セキュリティ アナリストなどポジションによっては、管理職からのサポート不足や燃え尽き症候群といった職場上の問題が原因で、適切な候補者を見つけることは簡単ではありません。

「時は金なり」と言います。そのため、欠員があったポジションに適切な人材を補充できた組織は、できるだけ早く後れを取り戻せるようにしたいと考えます。この傾向は特に、セキュリティ オペレーション センターでは顕著です。バラバラなセキュリティ ツールを数多く使用しているため、ひっきりなしに発生するアラートに対応しなければならないからです。

新人アナリストの教育は骨の折れる仕事です。新人アナリストは SOC の技術スタックやプロセスを覚えるのに時間が必要です。マニュアルがない場合、新人がシニア アナリストにアドバイスを求めることは多々あります。これは周囲への負担となり、時間もかかります。

文書化されておらず、組織内で広く共有されていないコミュニティの知識を多用すると、SOC 内の一貫性が損われ、新人アナリストは業務に慣れるまでにさらに多くの時間が必要になります。互換性の低いさまざまなセキュリティ ツールを使用して、文書化されていないプロセスを処理しなければならない場合、1 人の新人アナリストが期待される速度で業務をこなせるようになるまでには約 100 時間、つまり 2 週間半という期間が必要です。

そこで、自動化の導入をおすすめします。SOAR（セキュリティ オーケストレーション、自動化、対応）ソリューションは、SOC でのキャリアを通してアナリストを支援します。ルーティン ワークの効率化が可能なため、アナリストは空いた時間でもっとやりがいのある業務を行うことができます。また、SOAR ソリューションを使用することで、新人アナリストも順調なオンボーディング期間を過ごせます。初日から全力で取り組んで新しい環境に慣れ、将来に対して安心感と自信を持つことができます。

以下は SOAR ソリューションが、アナリストのオンボーディングに役立つ多くの機能のほんの一例です。

1) SOAR ソリューションは自動ハンドブックをデプロイ

平均的な SOC では 1 日に大量のアラートを受信しますが、その多くは偽陽性です。そのため、アナリストは無駄な追跡を行うことが多く、本物の異常なネットワーク アクティビティを調査する時間が少なくなっています。アラートの量があまりに多いため、一部のアナリストが検出ツールの高アラート機能をオフにする例も発生しています。しかしこれではチームが重要なアラートを見落とす可能性があります。

SOAR により、チームはカスタマイズした自動ハンドブックを作成できるため、アナリストはこうした問題に対応しやすくなります。自動ハンドブックとは、SOC 全体でリソースと知識を均質化し、新規採用やスタッフの配置転換の際にも一貫性の維持に役立つワークフローです。また、アナリストがハンドブックの手順の作成や編集を行う必要がある場合、新人に不足していることの多い特定のコーディングまたはクエリ言語の知識や知見がなくても、最適な SOAR ソリューションを使用することで対応が可能になります。

2) SOAR ソリューションは関連するアラートをグループ化

さまざまなセキュリティ ツールから膨大なアラートが生成されるため、一部の SOAR ソリューションでは、こうしたアラートをグループ化し、1 つの統合インターフェースにまとめています。これは調査への脅威中心のアプローチとして知られる方法で、SOAR はアラート間のコンテキスト上の関係を検出し、関係が特定された場合はそれらのアラートを単一のケースにグループ化します。より管理しやすく焦点を絞ったケースに最初から取り組めるため、新人アナリストがよりスムーズに業務に慣れることができます。

3) SOAR ソリューションはセキュリティ スタックを統合

次世代ファイアウォール、SIEM、エンドポイントでの検出と対応など、どのような組織でもセキュリティ スタックは膨大で複雑です。スタック内に存在するすべてのツールを把握したり、こうした各種のツールを実際に使ってみて、アラートへの適用に適したコンテキストを取得したりするのに必要なだけの時間は、新人アナリストにはありません。SOAR ソリューションでは、一元的なプラットフォームで分析可能な、コンテキストに合ったデータが提供され、アラートのトリアージや調査、対応のために多数のコンソールを使用する必要がないため、この問題が軽減されます。また、SOAR ソリューションがあることで、SOC は他のグループが管理する検出ツールを直接操作しなくて済みます。

4) SOAR ソリューションはコラボレーションを効率化し、エスカレーションと情報共有を簡略化

SOC がすべての脅威に対応できるわけではないため、ネットワーキングや重要な運用、またはチェンジ マネジメントなど他の部門も関与する必要があります。また、経営幹部は多くの場合、組織内のセキュリティ トレンドに関心を持っています。すべてのグループが同じ方法で連絡を取ったり、情報を同じように使用したりするわけではないため、意思の疎通が不十分な場合もあり、特に新人アナリストは不満を感じる可能性があります。SOAR ソリューションは手順、更新、レポートを自動生成することで、SOC と他のチームの条件を同じにします。SOAR は SOC チーム内の連携にも役立ち、特にリモートワークやハイブリッドな業務形態が多い時代には有益です。

5) SOAR ソリューションは、アナリストが短期間で疲弊するのを防止

SOC に「椅子に座って寝ている」という不名誉な称号が付けられたのには理由があります。SOC ような環境での仕事は単調で退屈なことがあるため、人によっては退屈のあまり文字どおり眠りに落ちやすくなります。

SOAR ソリューションは ２ つの注目に値する方法で、この退屈さに対処します。長時間の勤務中にアナリストがいくつものモニターを凝視しなければならない状況を排除します。また、アナリストがより戦略的で思考力を刺激されるような業務に時間を振り向けられるようにします。その結果、会社の全体的なセキュリティ体制が強化され、SOC の新入アナリストが短期間でやる気を失うこともありません。

Google Cloud SecOps スイートの一部になった Siemplify SOAR の詳細と、無料のコミュニティ版のダウンロード方法については、siemplify.co/GetStarted を参照してください。