2017 年 3 月 30 日
状況認識を活用して脅威への対応の有効性を向上させる
続きを読む
不完全な情報は、効果的なサイバーセキュリティの妨げとなる可能性があります。例えば、セキュリティ運用チーム(SecOps)はファイアウォールからアラートを受信しても、それが単なる無意味なpingなのか、それとも重大なインシデントの兆候なのかを容易に判断できません。特に初期段階では、判断が難しい場合があります。誤った判断は大きなコストにつながる可能性があります。また、誤検知に過度の労力を費やすことは、リソースの浪費につながります。.
状況認識は、このジレンマを解決する手段となります。状況認識とは、潜在的なインシデントに関連する複数の情報ストリームをタイムリーかつ正確に把握することを意味します。これには、セキュリティシステム間の連携が必要になる場合もあります。優れた状況認識は、チームが誤検知に陥るのを防ぎながら、深刻でありながら隠れている脅威を鋭く認識し続けるのに役立ちます。これにより、組織はサイバーセキュリティの脅威に対してレジリエンス(回復力)を発揮できるようになります。.
サイバーセキュリティの専門家は、サイバーレジリエンスが最優先事項であることに同意している
先日行われた政府セキュリティ担当者によるパネルディスカッションでは、今日の主要なサイバーセキュリティ専門家がサイバー脅威環境にどのように対応しているかが明らかになりました。このイベントには、国家情報長官室、運輸保安局などの代表者が参加しました。.
サイバーレジリエンスは、おそらく彼らの最も重要な目標です。日常生活において、レジリエンスとは怪我などの挫折から迅速に回復できることを意味します。パネリストはサイバーレジリエンスを「状況認識を用いて攻撃を早期に阻止し、侵害発生後に迅速に通常の状態に戻ること」と説明しました。パネリストによると、その目標は「脅威の検知から何らかの損害やデータ損失に至るまで、サイバーキルチェーン全体にわたるあらゆる事象に対応すること」です。“
レジリエンスは包括的なものです。サービスレベル契約で定義されている標準的な復旧時間目標(RTO)を超えたものです。RTOは必要かつ重要ですが、基本的には特定のシステムがどの程度保護されているかを定義するデータポイントです。.
レジリエンスとは、組織全体のセキュリティ体制、つまり攻撃に耐え、克服する能力、あるいはより正確には攻撃を完全に回避する能力を反映します。レジリエンスとは、全体像を把握し、状況を把握することを意味します。.
この意味で、状況認識はローカルとグローバルの両方の要素を包含します。サイバーセキュリティ管理者は、自らの特定の状況だけでなく、サイバー脅威の全体像も認識する必要があります。そのためには、他の組織とのコミュニケーションや、セキュリティ情報の体系的な共有が必要になる場合があります。.
SecOps チームは、ローカルとグローバルの両方のサイバーセキュリティ状況認識を持つ必要があります。.
連邦政府のトップサイバーセキュリティ専門家が状況認識を構築する方法
状況認識は迅速かつ可能な限りリアルタイムに行う必要があります。パネリストたちは、迅速な対応をどのように実現したかについて議論しました。.
国家情報長官室のインテリジェンス・コミュニティ・セキュリティ調整センター所長、ウォーリー・コギンズ氏は、次の3つの方法で状況認識による迅速な対応に取り組んでいます。
- 彼は、自身のセキュリティコーディネーションセンターと他機関のセンター間のデータフローを自動化しています。目標は、脆弱性管理、エンドポイントセキュリティ、セキュリティインシデントに関する情報を、関係者全員に可能な限り迅速に提供することです。.
- 彼は、サイバーセキュリティに焦点を当てるために、様々なバックグラウンドやインテリジェンス機能を持つ人材を結集させています。例えば、対諜報活動とサイバーセキュリティの専門家を分析「セル」にまとめ、連携して内部脅威を特定しています。.
- 彼はサイバーセキュリティ演習を実施しています。例えば、サイバーセキュリティ担当者の対応時間と能力を向上させるためのサイバー「ウォーゲーム」などです。.
これらのステップの目標は、サイバーセキュリティの状況認識を通じて回復力を実現するサイバー防御能力を構築することです。.
セキュリティ自動化とオーケストレーション(SAO)とサイバーセキュリティ状況認識
状況認識に基づく迅速な対応は、サイバーレジリエンスにとって不可欠な要件です。これは、セキュリティプロセスのオーケストレーションと自動化にも当てはまります。手作業によるインシデント対応業務への依存度が高すぎると、状況認識が損なわれます。そのため、次のようなソリューションの必要性が高まっています。 セキュリティ自動化とオーケストレーション(SAO).
オートメーション
パネルに参加している政府関係者は全員、何らかのSAOツールを使用しています。これらのソリューションは、従来は時間のかかる手作業によるアナリストの作業を自動化し、 インシデント対応計画. これらのソリューションは、複数のシステム、人、組織にまたがるセキュリティケース管理タスクをオーケストレーションし、手作業によるプロセスを機械のスピードによる意思決定に置き換えます。.
検出と分析
SAOソリューションは、脅威の検出と分析を効率化します。例えば、侵入検知システムからのアラートに自動的に反応するように設定できます。アラートを受信すると、SAOソリューションはアラートの詳細を脅威インテリジェンスシステムに自動的に送信し、JIRAなどのシステムでケース管理チケットを作成し、関連する関係者にメールを送信します。.
脅威インテリジェンス
より大きな 脅威インテリジェンス サイバーセキュリティの状況認識と脅威に対する回復力を向上させます。. SAOソリューションはアラートに自動的に応答するため、セキュリティチームに現状を常に把握させることができます。これにより、チームは状況を把握し、脅威に迅速に対応できるようになります。また、このソリューションは状況認識に必要な幅広いタスクも実行できます。これには、包括的なデータ収集、標準化、ワークフロー分析などが含まれます。一部のSAOソリューションは、セキュリティチームの様々な脅威対応の実践を「学習」して模倣することができます。このツールは、セキュリティチームが実践した知識とベストプラクティスを蓄積します。この機能により、チームのスキルセットが活用され、反復的な管理作業ではなく、複雑な問題に集中する時間を確保できます。.
ログとレポート
SAOソリューションは、活動のログを生成します。これらのログはその後分析され、チームや組織間で共有できます。ログと過去のケース管理履歴を解釈することで、状況認識、迅速な対応、そして回復力を向上させるセキュリティ管理の側面を改善することができます。.
Swimlaneでサイバーセキュリティの状況認識を向上
スイムレーンは セキュリティ自動化 そして オーケストレーション 状況認識を促進し、アナリストに提示される状況情報を充実させます。実装、使用、管理、拡張が容易なオブジェクト指向の手法を採用しているため、セキュリティ運用チームは既存のセキュリティソリューションの機能を活用できます。.
セキュリティの自動化とオーケストレーションが組織にどのように役立つかについて詳しく知りたいですか?電子書籍をダウンロードしてください。 セキュリティオーケストレーション、自動化、対応の8つの実用例.
English 
Français 
Deutsch 
日本語 
한국어 
Português 
Español