セキュリティオペレーション (SecOps)
SecOpsの定義
セキュリティ運用(SecOps)とは、組織内のセキュリティチームと運用チームの連携を表す用語です。ITオペレーションは長年にわたって拡大し続け、個々の専門分野に枝分かれしているため、サイロ化した活動になりがちです。SecOpsは、ITセキュリティとIT運用のコラボレーションを促進することで、ネットワークとデータのセキュリティを優先し、ITパフォーマンスを犠牲にすることなくリスクを軽減することを目指しています。また、DevOps チームは組織のセキュリティ対策の作成と実装の要件ではないため、同様のコンセプトである DevSecOpsよりも焦点を絞ることができます。しかし、SecOpsの重要な原則は、セキュリティがすべてのプロジェクトの基本的な部分であり、プロジェクト開発の初期段階にも含まれていることを確認することです。
A key tenet of SecOps is to ensure that security is a fundamental part of every project and included in even the earliest stages of project development.
SecOps vs SOC
SecOpsチームは、組織全体の脅威を監視し、リスクを評価する、高度なスキルを持つITおよびセキュリティの専門家で構成されるチームです。SecOpsチームは、 セキュリティ・オペレーション・センター (SOC)の生命線です。SOCは、セキュリティチームが活動する集中ハブ(物理的、仮想的、またはその両方)です。SOCは、セキュリティ担当者間のコラボレーションを促進し、セキュリティ業務の効率化に役立ちます。
役割の数やSOCチームの規模は、組織の規模やニーズによって異なりますが、5~14名程度です。役割には、SOCアナリスト、セキュリティ・エンジニア、セキュリティ・マネージャー、IT運用マネージャー、システム管理者などがあり、全員が最高情報セキュリティ責任者(CISO)の直属です。
SecOps ツール
セキュリティチームがSOCを成功させるために作成されたSecOpsツールは数多くあります。これらのツールは、テクノロジーの進化に伴って数を増やし、サイロ化されたツールの複雑な組み合わせを管理することができるようになりました。幸いなことに、より少ないツールでより多くの機能を提供するために、業界全体で機能の統合が始まっています。
SecOpsチームがプロアクティブな防御を構築するのに役立つツールには、次のようなものがあります:
- エンドポイントプロテクション
- セキュリティ情報・イベント管理(SIEM)
- ネットワークの検出と応答
- エンドポイントの検出と対応
- ユーザーとエンティティの行動分析(UEBA)
- 拡張検出および応答(XDR)
- セキュリティ・オーケストレーション、自動化、レスポンス(SOAR)
SecOpsの課題
継続的な技術革新は、しばしば適切なセキュリティを犠牲にしながらも、ビジネスの運営と発展を前進させ続けています。セキュリティも継続的に進歩していますが、企業はその必要性に積極的に対処することが遅れており、新たなセキュリティの脆弱性が特定され、新たな脅威が出現すると、より消極的になっています。敵が機械学習、自動化、AIのような新しいツールに投資し続ける一方で、セキュリティ情報とイベント管理(SIEM)で構築されたレガシーSOCは、デジタル革新と高度な攻撃者のテクニックに追いつくことができません。さらに、セキュリティ専門家の不足と、プロセスの自動化(およびアナリストの燃え尽き症候群の回避)のための SecOps ツールの実装の遅れは、継続的な大きな課題です。
レガシーSOC環境から生じるSecOpsの課題には、次のようなものがあります:
- 可視性と文脈の欠如
- 調査の複雑化
- セキュリティ管理から発生する忠実度の低い大量のアラートによるアラート疲労と「ノイズ
- システムの相互運用性の欠如
- 自動化とオーケストレーションの欠如
- 脅威インテリジェンスデータの収集、処理、およびコンテキスト化が不可能
SecOpsのメリット
SecOpsの目標は、組織のセキュリティ態勢を改善し、セキュリティ上の問題を特定して脆弱性を検出し、各部門のセキュリティに対する統一的なアプローチを促進することです。このアプローチは、より効率的にタスクを完了し、重複作業を排除するために、チーム間のコラボレーションを支援します。SecOpsモデルを実装することで、脅威を早期に特定し、侵害のリスクを低減し、インシデント対応時間を短縮し、その結果、ビジネスの継続性と評判を維持することができます。
Palo Alto Networks のセキュリティ オペレーション チームが SOC の自動化にどのように取り組んでいるかをご覧ください。
SOCにおける自動化とAIの活用
SecOpsチームは、日々膨大な数のセキュリティアラートや脅威の調査を行う必要があるなど、手作業による作業に苦労し続けています。自動化と分析を活用することで、SecOpsチームはセキュリティの脅威とインシデントをより適切に特定、調査、修復することができます。Forrester社によると、SOCの運用を完全に自動化する必要性は組織にとって長期的な目標であり、すでに70%以上が自動化の道を歩み始めています。
人工知能(AI)と機械学習(ML)を活用することで、アナリストの時間や注意、手作業による修復を必要とする価値の低いアラートを生成することなく、セキュリティイベントを迅速に特定することができます。AIとMLは組織内の重要なセキュリティイベントを特定することができます、
SOCで必要とされる時間と経験を減らしながら、複数のソースからのデータをつなぎ合わせることで、高い忠実度を実現します。
ベストプラクティス強固なSOC基盤の構築
SecOpsチームにとって重要なのは、目標を達成するために力を与えられると感じられるような上級幹部のサポートを得ることです。CISO は通常、SecOps チームと経営陣との橋渡しを行い、サイバーセキュリティとビジネス目標との整合性を図ります。
セキュリティ・リーダーは、組織全体のセキュリティを統一し、セキュリティ運用を簡素化するために、今すぐ対策を講じることができます。そうする必要があります:
- インシデントレスポンスの自動化により、平均修復時間(MTTR)を短縮します:調査と対応プロセスにおいて、時間のかかる手作業を自動化することで、アラートの見逃しを防ぎ、調査時間を短縮します。
- 繰り返しの多い手作業の自動化を促進します:戦術的で面倒な作業の必要性を減らすことで、アナリストは戦略的イニシアチブに集中する時間を増やすことができます。
- セキュリティツールの統合セキュリティ・ツールを一元化されたプラットフォームに統合することで、ロギング、アラート相関、およびオーケストレーテッド・レスポンスを一元化することができます。
CortexによるSecOpsの簡素化
エンドツーエンドのネイティブな統合と相互運用性により、SOCチームはCortexエコシステム全体で継続的な相乗効果を発揮しながら脅威のループを閉じることができます。Cortexの一連の製品は、脅威の状況を監視し、最も堅牢な検知、対応、調査機能を提供するために連携して動作します:
- Cortex XDRとCortex Xpanseは、インターネット上のアタックサーフェス、エンドポイント、クラウド、ネットワークにわたって究極の可視性と検出を提供します。
- Cortex XDRとCortex XpanseはCortex XSOARを活用し、完全なオーケストレーション、自動化、および応答機能を実現します。
- Cortex XSOARは、Cortex XDRとCortex Xpanseを活用して、オーケストレーションされたワークフローを推進するための忠実度の高い検出とアラートを提供します。
詳しくは製品ページをご覧いただくか、ホワイトペーパー "AI時代のSecOpsの再定義" をダウンロードしてください。