人材不足の解決策：SOARを活用してセキュリティチームを補強

今日のテクノロジー業界では、高いスキルを持つIT人材の需要が供給を大きく上回り、その影響は広範囲に及んでいます。組織では、予算の引き締めと人材不足が相まって、ハッキングやサイバー攻撃の被害を受けるリスクが高まっています。このブログでは、大学・研究機関と地方自治体に焦点を絞って、この問題について考えます。

人材不足に苦しむ大学・研究機関

EduCauseは、予算と人材のひっ迫が組織のサイバーセキュリティ対策に及ぼす影響を明らかにするための調査を実施しました。調査では、「人材不足が組織のサイバーセキュリティ対策に悪影響を及ぼしているか」という質問に対して、約3分の2 (66%)の組織が「ある程度」または「非常に」悪影響を及ぼしていると回答しました。また、ほぼ同数(60%)の組織が、プライバシー対策にも「ある程度」悪影響を及ぼしていると回答しています。

人材確保、新規雇用、既存の人材の維持に関する調査では、新しいポジションの創設と既存のポジションの人材確保ができていると回答した組織は、いずれもごく少数にとどまりました。さらに、高いスキルを持つ人材が市場で不足している現状を踏まえると、既存の人材を維持できていると回答した組織の割合が過半数を少し上回る程度だったことは問題の深刻さを物語っています。今日の大学・研究機関は、高額な給与を提供できる民間企業と競争して人材を獲得しなければならないためです。

^{出典：EduCause「The Cybersecurity and Privacy Workforce in Higher Education」、2023年}

予算が厳しい地方自治体

Deloitte社と全米州政府CIO会議(NASCIO)の共同調査によると、2022年度のIT予算全体に占めるサイバーセキュリティ関連の支出の割合は、連邦政府で約16%であったのに対して、地方自治体では平均10%にとどまりました。この調査では以前、セキュリティに関する問題としてサイバーセキュリティ予算の少なさがトップに挙げられ、次いでサイバーセキュリティ人材の不足と、新しい脅威に対して古いテクノロジーを使い続けていることが上位に入りました。Deloitte社によると、脅威が高まっているにもかかわらず、55%の州で2022年のサイバーセキュリティ予算の増加率が5%以下にとどまっています。

大学・研究機関と同様に、地方自治体でもIT職の給与は民間企業と比べて全体的に低めです。米国労働統計局によると、民間企業の2021年の給与は地方自治体と比べて平均で35%高かったことがわかりました。ベテランの人材になると、その差はさらに開きます。行政・公共機関の賃金は給与帯や上限に縛られることが多く、それがIT人材の獲得と維持を難しくしています。

どのような業種でも、十分な人員を確保できなければ、サイバーセキュリティインシデントのリスクが高まります。特に、セキュリティチームが常に定型業務に追われているような状態ではなおさらです。

標的となる行政・公共機関

地方自治体や大学・研究機関は、極めて重要なサービスを提供し、個人情報を扱っているため、サイバー攻撃の絶好の標的です。特に、生活に不可欠な行政サービスが被害を受けると、業務に深刻な影響が及び、個人情報が漏えいするリスクがあります。

行政や財政に大きな損害をもたらすサイバー攻撃を受ければ、政府や自治体の信用が低下する可能性もあります。サイバー攻撃による被害の大きさは、政府や自治体がサイバーリスクに適切に対応しているかどうかによって大きく左右されるからです。リスク管理が甘く予算配分が不適切であれば、IT人材のニーズを把握して人員を確保することがさらに難しくなります。

残念ながらサイバー犯罪者は、人員不足に起因するセキュリティの脆弱性を簡単には見逃しません。サイバーセキュリティ企業のSophos社が最近公開した調査レポート『ランサムウェアの現状』(英語)によると、2021年にはランサムウェア攻撃が前年比で70%増加しています。また、回答者の82%が、ランサムウェア攻撃によって業務に大きな支障が出たと答えています。

解決策：SOAR

では、大学・研究機関や地方自治体がこの問題を解消するにはどうすればよいでしょうか。サイバーセキュリティ人材の不足を補うための効果的な方法の1つは、日常業務のワークフローに自動化を取り入れることです。

一般的に、サイバーセキュリティに関する業務の少なくとも3分の1は自動化できます。自動化は、サイバーセキュリティチームの生産性を低下させる日常業務を減らせる点で大きなメリットをもたらします。

セキュリティの運用業務の中でも特にTier-1アナリストレベルの対応業務は、単調かつ定型的で、慣れてくると機械的にこなせるような繰り返しのタスクに溢れています。通常、セキュリティの調査や対応には、すべてのタイプのインシデントに共通する手動の手順やタスクがあります。こうした繰り返しのタスクは自動化の有力な候補です。

Splunkの『セキュリティ調査レポート』の調査では、セキュリティチームがSOARツールを使用することで、業務効率を平均で48%、生産性を約53%向上できることがわかりました。実際、SOARツールを使用すると同じ人数でもより多くの業務をこなすことができると回答した割合は97%にのぼりました。このことから、SOARツールは、行政・公共機関におけるサイバーセキュリティの人材不足の問題解決に直接役立つと言ってよいでしょう。

Splunkのアプローチ

Splunkは、サイバーセキュリティの運用を「OODA」ループ、つまり「観察(Observe)」、「状況把握(Orient)」、「意思決定(Decide)」、「行動(Act)」の4つのフェーズで考えています。これはもともと軍事の領域で使われたフレームワークで、OODAループをより迅速に実行した者が戦いを制するという考え方に基づいています。このフレームワークはサイバーセキュリティの領域にも適用できます。 

^{出典：Splunk SOAR First Call Deck}

図の左から説明すると、観察フェーズで役立つ製品は、ファイアウォール、IPS、エンドポイントセキュリティソリューションなどです。これらのデバイスで収集された情報を見れば、環境内で何が起きているかを知ることができます。

次の状況把握フェーズでは、これらの観測結果から状況を理解する必要があります。ある程度の分析を行えば、結果を引き出し、傾向を特定して、コンテキストを把握できます。通常、この最初の2つのフェーズでは、観察フェーズでは単体製品から、状況把握フェーズでは分析ツールからアラートが生成されます。

意思決定フェーズと行動フェーズでは、多くの場合、まだ手動のプロセスが必要です。アナリストは、受け取ったアラートに基づいて対応方法を判断し、ファイアウォールでの特定のIPのブロック、マルウェアの調査、エンドポイントでの実行可能ファイルのブロックなどの措置を実行します。最初の2つのフェーズを自動化すれば、時間を大幅に節約して、より重要な後の2つのフェーズに集中できます。

付加価値の高い業務にリソースを集中

前述のとおり、繰り返しのタスクを自動化すればセキュリティチームの生産性を50%以上向上できます。それによって節約した時間は以下の業務に割り当てることができます。 

• 組織のミッションに付加価値をもたらす業務
• チームメンバーが興味とやりがいを感じる業務(これは人材維持に重要なポイントです)
• チームメンバーとチーム全体に大きなイノベーションをもたらす業務

自動化の効果が高いタスク

セキュリティ運用には繰り返しのタスクがたくさんあるため、どこから自動化を始めればよいか迷うかもしれません。

TechTarget社によると、SOCのワークフローで自動化の効果が高いタスクは以下の6つです。 

• 脅威インテリジェンスの管理
• ケース管理
• 脆弱性管理
• 修復のための情報補強
• 脅威ハンティング
• インシデント対応  

これらのユースケースではいずれも、SOARを使用することで、単調で時間のかかる定型的な日常業務を自動化できます。これにより、効率と正確性が向上するだけでなく、大量のデータを処理することで脅威検出の範囲を拡大できます。この各ユースケースを簡単に見ていきましょう。

脅威インテリジェンスの管理
さまざまなツールやシステムで日々発生する大量のIOC (侵害の痕跡)を収集して集約するという負担の大きいタスクをSOARプラットフォームで自動化できます。自動化は、不審な挙動の見落としを防ぐためにも役立ちます。 

ケース管理
複数のツールで検出されたセキュリティ脅威の候補を手動で解析するのも、アナリストにとって時間のかかる作業です。SOARを使用すれば、相関関係はあっても別々に発生する複数のイベントのデータを照合し、1つにまとめて表示できます。その後、ケース管理担当者が重大度に基づいてイベントの優先順位を判断することで、対応を迅速化し、セキュリティ態勢全体を強化できます。 

脆弱性管理
脆弱性の監視と簡単な対応を自動化することで、アナリストの時間と労力を大幅に節約できます。SOARを使用すれば、複数のセキュリティツールで生成された脅威データを相関付け、リスクを評価して、対応の優先順位をすばやく判断できます。処理を自動化すれば、データが大量にあっても対処できます。

修復のための情報補強
どのようなインシデント対応でも、最初に行うのはIOC情報の補強です。SOARプラットフォームを使用すれば、さまざまな脅威インテリジェンスツールや関連情報のデータベースからコンテキストを自動的に取得してこのプロセスを迅速化し、トリアージと対応の効率と正確性を向上できます。また、データが大量にあっても、品質の高い十分な情報を補強できます。

脅威ハンティング
脅威ハンティングは、アナリストが行う作業として極めて重要である一方で、非常に時間がかかります。

SOARプラットフォームを使用すれば、マルウェアの調査のようにIOCを広範にわたって継続的に検出することで、脅威ハンティングを実質的に自動化できます。さらにSOARでは、戦略的な意思決定に人間が介入することもできます。 

インシデント対応
修復と対応のプロセスを自動化すれば脅威を早期に検出できるため、コストの節約にもつながります。SOARを使用すれば、フィッシング、マルウェア、DoS、Webサイトの改ざん、ランサムウェアなどの一般的な脅威に自動で対応できます。  

自動化の効果が高い繰り返しのタスクには、ほかにも、監視リストへのインジケーターの追加と悪質なインジケーターのブロック、インジケーターや侵害されたエンドポイントの隔離、インフラのハードウェア/ソフトウェアへのパッチ適用、不審なメールの削除とIPのブロック、チケットの生成、ユーザーアカウントの停止などがあります。SOARプラットフォームでは、ウイルス対策スキャンやセキュリティコンプライアンスチェックを自動実行して、関係するアナリスト、従業員、ベンダー、パートナー、顧客にアラートを送信することもできます。

Splunkで人材不足の問題を解決

自動化を推進すれば、サイバーセキュリティチームの能力を補強できます。SOARツールを導入して日常業務を合理化し、効率を向上させることによって、より少ない人数で運用を維持できます。サイバー攻撃を受ける前に対策を打って、セキュリティ態勢を新たなレベルに引き上げましょう。

このブログはこちらの英語ブログの翻訳、伊藤 宣子によるレビューです。