SecOps の一般的な 5 つの課題を克服する方法

※この投稿は米国時間 2022 年 7 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。

編集者注: このブログは Siemplify により 2022 年 4 月 12 日に最初に公開されたものです。

今日のセキュリティ オペレーション センターの成功は、自動化、機械学習、人工知能などを取り入れたにもかかわらず、依然として人々に強く依存しています。その大きな理由は、セキュリティ オペレーション センターが取り込む必要のあるデータが膨大な量であることです。攻撃対象がさらに広がり、クラウド採用の急速な増加によってボーダーレスのエンタープライズが誕生することも関係しています。

このようなアラートはすべて、人間による事前および事後の意思決定が依然として非常に重要であることを示しています。

U.S. News の「最優秀職業ランキング トップ 100」で情報セキュリティ アナリストが 1 位にランクされたのは驚くにあたらないでしょう。このランキングは、米国労働省の情報に従い、2030 年までに予測される求職の数と職位の空きの割合が最も高い職種を識別して判定されたものです。セキュリティ、特に検出と対応は、ビジネスに不可欠なだけでなく、おそらく CEO の思考のなかでも最大の懸念でしょう。

しかし、Tines により行われ最近リリースされた「SOC アナリストの声」調査結果によれば、セキュリティ アナリストは職を離れることを希望する可能性が最も高い専門職の一つでもあります。

その理由は、SecOps が抱えており、変化しないように思われるいくつかの大きな課題に帰着します。

1)  アラート疲れと偽陽性: あまりにも大量のスパムや迷惑メールが送られてきたため、新しいメッセージを完全に無視するようになり、その結果重要なメッセージを見逃してしまった経験はないでしょうか。アラートについても同じことが起きる可能性があります。あまりにもノイズが多い状態はサステナブルではなく、本当の脅威が見逃される恐れがあります。境界が拡大しクラウドの採用が増えている現在は特にこの問題が深刻になります。

2）ツールの不統一: すでに多くのポイント検出ツールが存在しますが、セキュリティ オペレーションの専門家はリモートワークとクラウドの需要が増加している現在、さらにいくつかの新しいツールを使用する必要があります。最新のカウントによれば、平均的なエンタープライズで管理が必要なセキュリティ ツールの数は 75 以上にのぼります。

3）手作業のプロセス: ユースケースの手順が一貫しない繰り返し不能なプロセスとなる場合、対応時間のボトルネックになり、SecOps チームの不満を引き起こします。SOC のすべてを自動化する必要はなく、そうすべきでもありませんが、多くは自動化が可能です。それらの自動化によってアナリストやエンジニアが作業から解放され、より次元の高いタスクに集中でき、新しい従業員をより簡単にトレーニングできるようになります。

4）人材の不足: サイバーセキュリティの技能の不足は決して避けられないものです。サイバーセキュリティの戦いを続けるため、技能を持つ要員のニーズが発生することは明らかです。しかし、必要数を充足できるだけの人材が存在しない場合はどうしたらいいでしょうか。チームはこの穴埋めに余分に働く必要があります。

5）可視性の欠如: セキュリティ オペレーションの指標は、生産性の向上や、エグゼクティブによる承認とサポートのため重要ですが、SecOps がどれだけ成功したかは、レポートをまとめるのに多くの作業が必要になる可能性があることから、把握しにくいものです。

もちろん、上述の課題なしに作業している SecOps チームは稀であることに注意する必要があります。そのため、これらの制約に対処するため直ちに行える手順のいくつかは、人手によるプロセスと、問題点を解決するためのテクノロジーが中心になります。

Google Cloud と Deloitte が共同で作成した最近の資料では、次のことが指摘されています。

人間は最も不明瞭なセキュリティ信号（従来の SOC レベル 3+ に類似したもの）について最終的なトリアージを行い、何かの形式で脅威ハンティングを実行する（そのアラートをトリガーしなかったものを探す）必要があります。

機械は、より整理された形式（アラートからストーリーを作り出す）と、ルールやアルゴリズムを使用する改善された品質検出の両方について、より良いデータを人間に提供し、同時により多くの新しい IT 環境をカバーする必要があります。

人間と機械の両方が、手作業と自動の混在するワークフローで連係動作する必要があります。

それでは、セキュリティ オペレーションを改良するため最終的に行う必要があるのは何でしょうか。実践的な 5 つの提案を以下に示します。

脅威をより効率的に検出

SOC 内の効率化は、SIEM ソリューションで脅威をリアルタイム、かつ大規模で自動的に検出することにより実現できます。適切なプラットフォームは、大量のデータの取り込みと保存をサポートし、従来のコストとスケーリングの制限を緩和して、異常値や機械学習 / AI ベースの検出のレンズを広げることができます。データが 1 か所で保存および分析されることで、セキュリティ チームは脅威をより効果的に調査および検出できます。

脅威への自動対応

SOAR は、取り扱い件数を減らし、短時間で（そして、特に脅威インテリジェンスと統合されたときには円滑に）対応するという点で、大きな変化をもたらす可能性があります。しかし、自動化を急ぐ前に、現在のプロセスを検討し、達成しようとしている結果（MTTD の短縮など）をレビューして、正確に何を自動化したいのかを決定するべきです（SOAR を使用する場合は大量になることもあります）。自動化して役立つプロセスが明確な判定されれば、SOC の要員は従来の作業から解放され、よりクリエイティブな作業を行うことができます。

ログの優先順位付け

ログは見識のソースであり、多くの場合に進行中の攻撃のヒントが秘められているにもかかわらず、多くのチームにはログの収集、分析、優先順位付けを行うための方針が存在しません。この助けとなるよう、監視すべき重要なログを記載した 2 つのチートシートを用意しました。

自分たちでできない作業の外注

プロセスを改良すると、認識されている要員不足を補完できる場合があります（たとえば、モニタリング ツールの構成が不適切な場合には、修正することでアラートのノイズを減らすことができます）。もちろん、多くの組織では年中無休のモニタリングや、脅威ハンティングなどより特化した機能を実行するため、さらに人手が必要です。マネージド セキュリティ サービス プロバイダや、マネージド検出プロバイダがどのように役立つかを以下に示します。ただし、自社内でソリューションを導入できる可能性も鑑みながら、予算について慎重に考慮してください。

キャリアモデルの導入

管理職からのサポートの欠如は、2022 年の SANS セキュリティ オペレーション センター調査によれば、完全に機能する SOC モデルを実現するための 4 番目に大きな障害とされています。この問題を解決するには、SecOps のリーダーがワークフロー プロセス改善を支援し、イノベーションを保護して、チームが日常的な作業ではなく創造的で影響の大きい作業に集中できるようにし、トレーニングとキャリアの開発を是認する必要があります。結局のところ SOC は間違いなく人間主体で、成功と失敗を分けるのはこれらの人々です。

- Google Cloud Security、コンテンツ マーケテイング Dan Kaplan