セキュリティ・オートメーションとは?
セキュリティの自動化とは、人工知能(AI)と 機械学習 (ML)を使用して、脅威が侵害になる前にプロアクティブに排除するという概念です。今日の悪質業者は、自動化やAIを駆使して、特に複雑でボーダーレスなIT環境(マルチクラウドなど)において、高度で大規模なサイバー攻撃を仕掛けています。
サイバーセキュリティの統合とともに、自動化はサイロを排除し、人手を介さずにサイバー脅威を予防、検知、対応するのに役立ちます。組織は、最新のセキュリティ・オーケストレーション・テクノロジーとプロセスを使用して、現在と将来のための強力な防御を構築することで、AIの価値を最大限に高めることができます。
Security Consolidation Q&A with Nir Zuk
セキュリティ・オートメーションとは?
セキュリティの自動化とは、サイバー脅威を自動的に防止、検出、特定、排除するプロセスです。人の介入がなくても効果的ですが、通常はSOCチームを補完する役割を果たします。
例えば、 IT運用のためのAI(AIOps)は 、組織全体の運用アプライアンスからのビッグデータを活用します。その後、機械学習(ML)を使用して、これらのデータ間のパターンと関係を検知し、SOCに実用的な洞察を与えて、セキュリティ脅威に関する意思決定を行います。
最新のサイバーセキュリティ自動化ソリューションは、AIとMLを使用して、組織のデジタルシステム、プログラム、データ、ネットワーク、アプリケーション、デバイスを保護します。
オートメーションとサイバーセキュリティの関係は?
セキュリティ・オペレーション・センター(SOC)は、継続的にネットワーク全体の侵害をスキャンするアナリストによって運営されてきました。アナリストは手作業で脅威を調べますが、大量のアラート、誤検出、より大きなセキュリティ脅威からの逸脱など、時間のかかる作業です。その結果、SOCチームは過重労働を強いられ、成果は上がらず、セキュリティ・ギャップが実際の侵害につながるというパーフェクト・ストームが起こります。
自動化により、多くの手動プロセスが排除され、アラートが削減されるため、SOCアナリストは反復的なセキュリティタスクをより迅速に実行できます。
しかし、セキュリティチームがサイバー耐性を高めるために自動化を利用できるのと同様に、悪意のある行為者もサイバー攻撃に自動化を利用することができます。今日のサイバー攻撃の多くは、自動化を利用して迅速に規模を拡大し、複数の攻撃手法を使って脆弱性を突いています。
現実には、手作業では自動化された脅威の量に追いつくことはできません。そのため、組織の防御にサイバーセキュリティの自動化を加えるケースが増えています。つまり、AIにはAIで対抗するということです。
自動セキュリティ・システムの利点
1.脅威検知と対応の迅速化
自動化されたセキュリティ・システムは、膨大な量のデータを処理し、人間が認識することが困難なパターンを発見することができます。
クラウドのセキュリティを 例に挙げてみましょう。クラウドとオンプレミスでセキュリティインフラが異なるため、1日に数千件のアラートが送信され、調査に数日を要するインシデントもあります。
自動化により、クラウドセキュリティアラートは自動アクションに変わります。イベントデータは分析されてデータレイクに送信され、安全でないクラウド構成にはパッチが適用され、ケース管理のワークフローは自動化されます。
クラウドのインシデントは、一般的なセキュリティ・アナリストよりもはるかに速いスピードで、人手を介さずに自動的に解決されます。
2.ヒューマンエラーの可能性を低減
セキュリティ・アナリストは、注意を要する大量のインシデントに圧倒され、酷使されることがよくあります。それはヒューマンエラーにつながります。2023 Verizon Data Breach Investigations Reportによると、情報漏えいの74%以上は人為的ミスによるものです。
サイバーセキュリティの自動化は、一般的にアナリストに与えられている多くの退屈で反復的なタスクを排除し、意思決定に役立つ深い洞察を提供します。
3.業務効率の向上
セキュリティの自動化は、手作業によるSOCの責任だけにとどまりません。セキュリティチームは、設定ミスや、ほとんど統合されていないインフラストラクチャのサイロ化されたデータと格闘することが多いため、変更がエラーになりやすく、運用が遅くなります。
例えば、セキュリティチームは、ネットワークセキュリティポリシーに対するルール変更要求を1日に数回受け取るかもしれません。これらの変更は複雑で、アプリケーションの停止を引き起こす可能性があります。
ワークフローオートメーションにより、計画から検証、監査まで、ポリシー変更プロセス全体を自動化するワークフローをカスタマイズできます。これにより、人的ミスのリスクを排除し、セキュリティチームの混乱を最小限に抑えることができます。
セキュリティ自動化ツールの例
1.拡張検出および応答(XDR)
拡張検出と応答(XDR)は 、従来のEDRツールをマルチクラウド、ネットワーク、エンドポイントを含むあらゆるデータソースに拡張します。XDRシステムは、ヒューリスティック、分析、モデリング、自動化を使用して、脅威の発見、ハント、調査、対応にかかる時間を短縮します。
2.セキュリティ・オーケストレーション、自動化、レスポンス(SOAR)
SOAR ツールは、統合されたサイバーセキュリティ・オーケストレーション・プラットフォーム内で、人とツール間のタスクの調整、実行、自動化を支援します。SOARソリューションには通常、脅威と脆弱性の管理、セキュリティ・インシデント対応、セキュリティ運用の自動化が含まれます。
3.脆弱性管理
脆弱性管理とは、脆弱性の特定、評価、修復を自動化する一連のツールとプロセスを指します。脆弱性管理には、自動評価スキャンとレポート、アタックサーフェス管理ツール、SOARとの統合が含まれます。
4.エーアイオプス
AIOpsは大量のデータを分析して意思決定を自動化します。例えば、NetOpsでは、AIがネットワークの健全性データを分析し、ネットワーク全体を改善する方法に関する詳細な洞察をネットワーク変更チームに提供することができます。
サイバーセキュリティの統合はオートメーションにどう影響するか?
従来のサイバーセキュリティ防御では、今日のAIベースの攻撃に対応するのは困難です。組織は火には火で、AIにはAIで対抗しなければなりません。
しかし、AIと自動化をサイバー防御に適切に組み込むには、セキュリティ・ツールがインフラ全体から収集した大量のデータを必要とします。つまり、ネットワーク、クラウド、運用、エンドポイント全体からのデータ要素を意味します。
データはまた、フォーマット、構造、ラベル付けにおいて、すべてのタッチポイントで一貫していなければなりません。この集約されたデータにより、セキュリティ・オートメーションは、アナリストの助けがあってもなくても、攻撃を認識し、防止することができます。
そこで サイバーセキュリティ統合の 出番です。サイバーセキュリティ統合では、インフラ全体のデータ要素が1つの中央データレイクに収集されます。ツールは同じ脅威インテリジェンスとデータを共有することで、AIアルゴリズムが将来の脅威を検知し対応する際の精度を高めることができます。
AI機能は、ユーザー、デバイス、場所によって脅威を分離し、適切な通知とエスカレーション措置を開始することができます。同時に、人間の専門家が調査や修復の方法を判断することもできます。
統合サイバーセキュリティFAQにおける自動化
