デジタル社会の実現にはインシデント対応の自動化が必須な理由

デジタル庁が推進する「デジタル社会の実現に向けた重点計画」では、「デジタルの活用により、一人ひとりのニーズに合ったサービスを選ぶことができ、多様な幸せが実現できる社会」がテーマとして掲げられています。

いくつかの行政システムは今もデジタル化されていますが、特に新型コロナウィルス感染症への対応において、現行の行政システムでは効率的な対応ができず、海外の対応と比べると、現行システムに課題があることが明らかになりました。

このような背景から、令和3年9月にデジタル庁が発足し、現行の行政システム改善のみに留まらず、より一層、国民の利便性を向上するための多くの行政システムが、スピード感を持って開発されていくものと想像します。

行政システムが益々便利になっていくことは、我々国民にとっては非常に素晴らしいことです。

多発するセキュリティインシデントへの対応が課題

しかしその側で、セキュリティ対応を行うデジタル庁のチームは、増え続ける行政システムのセキュリティインシデントへの対応で、多忙を極めることが予想されます。

インシデント発生の都度、脅威インテリジェンスサイトでURLやIPアドレスなどを検索する、といった、人間が繰り返し行う調査作業は、一つ一つの作業負荷は大きくなくても、インシデント数が増えてくると大きな負担になってきます。

例えば、職員宛に届いた、怪しい電子メールを調査するにあたっては、

  • VirusTotalサイトで、メール本文内に記載されたURL、送信元IPアドレス、送信者メールアドレスのドメイン、添付ファイルを調査する。
  • その他のサイト (例えば、AbuseIPDBサイトやIPInfoサイト) でも、IPアドレスの詳細を調査する。
  • その他のサイト (例えば、PhishTankサイトやOpenPhishサイト)でも、メール本文内に記載されたURLが怪しいものとして登録されていないか調査する。

といった作業があったりします。

これが1日に1件や2件程度であれば、人間が行う作業であってもそれほど苦痛ではないでしょう。

しかし、1日に100件、200件と増えてくると、セキュリティ対応チームの負担はかなり大きくなり、迅速な対応は難しく回答までに数日を要する、という状況が容易に想像できます。

また、このような調査結果から、どのインシデントの優先順位が高いのか、どのような処置が必要なのか、今後の対応はどうするかを考えるのも人間なので、熟練のインシデント対応者と初心者では、判断結果に大きな乖離が生じる可能性があります。

「では、熟練のインシデント対応要員を多く採用すれば良いのではないか?」という考えがよぎりますが、またそこにも課題があります。

弊社が公表した「セキュリティオペレーションジャパンサーベイ 2020」によると、セキュリティオペレーションにおける課題についての質問で上位を占めたのは「スキルが不足している」(43.3%)、「一部の人材のスキルに依存している」(43.0%)、「人材が不足している」(42.4%)」と、いずれもセキュリティ人材やスキルに関するものとなっています。

パロアルトネットワークス 「セキュリティオペレーション ジャパンサーベイ 2020年版

この結果からわかることは、セキュリティ人材を、さらには熟練者を採用するのは容易なことではない、ということです。

ではどうすればよいのか。それを解決するのがSOARです。

SOARとは、Security Orchestration(オーケストレーション),Automation(オートメーション) and Response(レスポンス)の略です。

SOARは、インシデント管理やインシデント対応の自動化を支援するためのセキュリティソリューションであり、セキュリティ人材不足の解決策となりえます。

「オーケストレーション」とは、複数のシステムやツールから上がってくる情報を、脅威インテリジェンスも取り込んで分析し、対応の必要性や優先度を判断するしくみのことです。

「レスポンス」とは、インシデントの検知や対応を行う作業のことです。

そしてそれらを「オートメーション」=自動化する、というものです。

Cortex XSOARがセキュリティ人材不足を解消する

パロアルトネットワークスでは、SOARソリューションとして「Cortex XSOAR」を提供しています。

こちらがCortex XSOARが持つ機能の一つである「プレイブック」のサンプル画面です。

このサンプルは、疑わしいメールからIoC: Indicator of Compromise (攻撃者が使用した添付ファイルのハッシュ値、IPアドレス、ドメイン、URLなどの要素)を抽出して、別のシステムに登録する、という比較的単純なものです。

しかし、このような作業を人間が行うと1件や2件でもそれなりの時間を必要としますが、XSOARを使えば、1日に100件の作業でも、人の手を煩わせることなく、瞬時に完了させることができます。

このプレイブックを活用することで、より複雑なセキュリティオペレーションの自動化を図り、効率的なセキュリティ運用を実現できれば、貴重なセキュリティ人材のリソースを有効活用することが可能となり、人材不足の課題解決につなげることができます。

Cortex XSOARのより詳細については、こちらをご参照ください。