business-and-technology

セキュリティ ファブリックでSOARを活用し、セキュリティオペレーションを加速

2019年だけで1,240億ドル以上がサイバーセキュリティに費やされました。しかし、それにもかかわらず、多くのセキュリティチームは、依然として対応に苦慮しています。セキュリティチームが抱える課題には、あまりにも多い監視コンソール、過剰なアラート、手動プロセスへの依存、サイバーセキュリティ人材の不足などがあります。

幸いなことに、こうした課題への対処を目的に設計されたテクノロジーが数多く存在します。問題は、どのSOCツールが自社に適しているか、ということです。SOC自動化フレームワークは、人材、プロセス、製品へのこれまでの投資に基づいて、現在の成熟度レベルを容易に特定できるように設計されています。このフレームワークをベースにすれば、自社に適したツールを特定し、次のレベルに進むために必要なステップを定義できます。

フォーティネットのソリューションの中でも、FortiAnalyzer(セキュリティ ファブリックの分析と自動化)、FortiSIEM(セキュリティインシデントとイベントの管理)、FortiSOAR(セキュリティのオーケストレーション、自動化、レスポンス)などは、SOC自動化フレームワークの各フェーズに沿った解決策を提供しています。各ソリューションでは、セキュリティの自動化機能を活用して、セキュリティアーキテクトがそれぞれのSOC自動化レベルで直面する主な課題に対処します。また、セキュリティ ファブリックは、こうしたソリューションをすべて結び付け、無駄のない効率的なセキュリティチームが自社を最大限に保護できるようにします。


セキュリティオペレーションの自動化フレームワークの導入

図1:SOC自動化フレームワーク

図1:SOC自動化フレームワーク

オペレーションの複雑さは、規模を問わず、あらゆるセキュリティチームの課題となっています。SOC自動化フレームワークは、セキュリティチームが現在の成熟度レベルを特定し、自社環境に最も適したセキュリティソリューションを選択できるように設計されています。

SOC自動化モデルは、人、プロセス、製品の3つの主要カテゴリに分かれています。カテゴリごとに、そのカテゴリでのセキュリティ態勢に基づいて、1~3の成熟度レベルで組織を分類できます。たとえば、すべてのカテゴリでレベル1の組織は、セキュリティスタッフ(人)がいない小規模なITチームで、ベストエフォート型のインシデントレスポンスを行うためのプレイブック(プロセス)を持っています。一方、その逆の例は、経験豊富なSOCアナリストを擁し、明確に定義されたプレイブックを持ち、SIEMやSOARのソリューションを導入しただけでなく、その有効性も測定しているような大規模なセキュリティチームを抱えている組織となります。

サイバーセキュリティのスキルギャップ解消に必要な人材が400万人を超え、増え続けている現在、組織のSOC自動化を進める上で、人材面を改善することは不可能かもしれません。しかし、的確なプロセスを実装し、適切な製品を選択すれば、人材不足のセキュリティチームを補い、組織のニーズを満たすことができるようになります。

セキュリティ ファブリックの分析と自動化を基盤として使用することで、フォーティネットセキュリティプラットフォームに搭載されたAIを活用し、プラットフォームに組み込まれた各セキュリティコンポーネント(NGFWIPS / IDSなど)から得られた脅威インテリジェンスを相関させることが可能になります。そして、このインテリジェンスはFortiAnalyzerで処理され、リアルタイムで脅威を検知します。こうした同様の統合型セキュリティソリューションをインテリジェントに活用すれば、検知された脅威に対して、ネットワークの速度で、連携のとれたレスポンスを実現できます。

複数のプラットフォームやサードパーティ製ソリューションが導入されている場合には、FortiAnalyzerに加え、FortiSIEMも活用できます。FortSIEMは、多数のセキュリティプラットフォームや、サードパーティのセキュリティツールのほか、ネットワークデバイスからもデータを収集して相関付けを行い、それに基づいてインテリジェントにアラートを発生させます。これにより、大規模かつ複雑な環境であっても、包括的で実用的なインテリジェンスが得られます。

FortiSOARは、複数のセキュリティソリューションを導入済みの、成熟したSOCを持つ企業向けに設計されています。そうした環境で必要となるのは、SIEMデバイスに加え、ネットワークデバイスやセキュリティデバイスの複数のセキュリティツールから実用的なイベントを収集し、集約できるFortiSOAR(セキュリティのオーケストレーション、自動化、レスポンス)のような高度なソリューションです。これによりセキュリティチームは、脅威を把握してアラートを発生させるだけでなく、事前に定義されたカスタマイズ可能なプレイブックを活用して、脅威への高度な対応を実現できます。

MSSPに最適なFortiSOAR:MSSP(マネージドセキュリティサービスプロバイダー)は、FortiSOARの高度なマルチテナント機能をマネージドサービスに拡大できるようになります。これにより、極めて重要なセキュリティオーケストレーションとレスポンスサービスを顧客に提供すると同時に、エンジニアによる顧客対応率を低い水準でとどめ、収益性を最大限に高めることができます。


FortiSOARのパワーの活用

昨今のネットワークは、大規模化し、分散され、非常に動的で、拡張性に優れています。SOARは、そうしたネットワーク向けに設計された、新しいレベルの統合インシデントレスポンス管理を実現します。FortiSOARは、セキュリティオペレーションセンター(SOC)を最大限に効率化しつつ、オペレーションを簡素化したいと考えている企業やサービスプロバイダーに最適なソリューションです。

FortiSOARを使用することで、さまざまなセキュリティ製品から送信されるアラートの統合とトリアージが可能になり、脅威分析や反復的タスクを自動化して貴重なリソースを節約できるようになります。また、広範なソリューションやテクノロジーとの相互運用を行った上で、明確に定義されたプレイブックを活用して、人手を介さずに、セキュリティイベントへのリアルタイムのレスポンスを自動化し、SOCオペレーションを合理化することも可能です。

300以上のコネクタを備えたFortiSOARは、主要なあらゆるセキュリティベンダーやテクノロジーとの容易な統合が可能であり、可視化と制御の一元化のほか、ユーザー関連のデータを保護するためのロールベースのきめ細かいアクセス制御を実現します。さらに、構成が容易ですぐに使える200以上のプレイブックには、インシデントと資産を相関付けて時系列で表示するビューを搭載した業界で最も高度なケース管理モジュールなどが含まれており、インシデントレスポンスのシーケンスとルーチンタスクの自動化が可能になります。

FortiSOARは、ガートナー社が最も重要であると特定した、以下の3つのSOAR機能のすべてに対応しています。

セキュリティインシデントレスポンス:セキュリティインシデント対策について、計画立案・管理から、追跡・調整に至るまで、レスポンスプロセス全体を網羅している。

脅威と脆弱性の管理:正式なワークフロー、レポート作成、コラボレーションの機能によって、脆弱性を修復できる。

セキュリティオペレーションの自動化:ワークフロー、プロセス、ポリシーの実行、レポート作成のオーケストレーションが可能である。


デジタルイノベーションに欠かせないセキュリティ自動化ソリューション

今日のデジタル市場に積極的に参入することは、新しいデジタルエコノミーでの競争を目指す組織にとって不可欠です。しかし、新しいビジネスモデルとデジタルリソースは攻撃の対象を拡大するため、複数のセキュリティコンソールのレンズを通して、拡張されたネットワークを必死で把握および管理しようとしているセキュリティチームは、すぐに対処しきれなくなる可能性があります。

デジタルイノベーションは、セキュリティを犠牲にして実現すべきではありません。セキュリティの導入を簡素化するには、セキュリティ脅威インテリジェンスを集約するSIEMテクノロジーでサポートされたセキュリティ ファブリックと、詳細な分析、広範な可視化、脅威への自動レスポンスを可能にするSOARソリューションが必要です。そして、分散されたセキュリティ ファブリックに、高度なAI分析を追加すれば、拡大し続ける企業のあらゆる場所で発生するサイバーイベントの可視化、検知、オーケストレーション、自動レスポンスがさらに確実に行えるようになります。


FortiSOARを利用することで、SOCチームはインシデントレスポンスの加速、オペレーションの統一、アラート疲れの解消が可能になります。ぜひ詳細をご確認ください。

マネージドケアプロバイダー消費者金融のパイオニア企業がFortiSOARを活用してSOCオペレーションを合理化した事例を紹介しています。ぜひご参照ください。

セキュリティのオーケストレーション、自動化、レスポンス(SOAR)に関するフォーティネットのユーザーコミュニティ(Fuse)にご参加ください。意見の交換やフォーティネットの製品およびテクノロジーの詳しい情報を入手できます。