NISTサイバーセキュリティフレームワークとセキュリティ自動化およびオーケストレーション（SAO）によるインシデント対応の改善

その 米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワーク 2013年の大統領令を受けて、政府機関および民間組織が重要インフラをサイバー攻撃からより効果的に保護できるよう支援するために策定されました。現在、第2版（1.1）に近づいているこのサイバーセキュリティ・フレームワークは、組織が費用対効果が高く包括的なサイバーセキュリティ戦略を柔軟に設計・実装するための方法を提供します。脅威の特定と検知から対応と復旧まで、セキュリティのあらゆる側面を網羅しています。.

NIST サイバーセキュリティ フレームワークは、コスト効率が高く総合的なサイバーセキュリティ戦略を柔軟に設計および実装する組織をサポートします。.

セキュリティ自動化およびオーケストレーション（SAO）は、組織がフレームワークに準拠したコントロールを実施するのに役立ちます。SAOは、セキュリティ検知とインシデント対応を自動化し、セキュリティシステムをオーケストレーションするツールとプラクティスの集合体です。SAOを活用することで、組織はセキュリティチームの生産性と効率性を高め、フレームワークに準拠したセキュリティインシデントへの対応を効率化できます。.

NIST サイバーセキュリティ フレームワークには何が含まれていますか?

NISTサイバーセキュリティフレームワークは、サイバーセキュリティプログラムの開発、実装、そして継続的な改善に関する広範なガイダンスを提供しています。その中核となるのは、識別、保護、検知、対応、そして復旧という5つの機能です。それぞれの機能はさらにカテゴリーに細分化され、さらに各カテゴリーには、重要インフラをサイバー攻撃から守るための具体的な側面を扱うためのサブカテゴリーが用意されています。.

また、組織がサイバーセキュリティリスクをどの程度適切に管理しているかを評価するために使用できる実装階層も提供しています。階層1の「部分的」な組織は、サイバー脅威に対して非公式で事後対応的な対応をしています。階層2は「リスク情報に基づいた」対応、階層3は「反復可能な」対応です。階層4は「適応型」な組織であり、変化するリスクに応じて柔軟に反復可能なプロセスを策定できます。.

セキュリティの自動化とオーケストレーションがインシデント対応を改善する方法

セキュリティインシデント対応は、単に問題に対応するだけではありません。サイバーセキュリティフレームワークでは、インシデント対応には、検出、対応、復旧という中核機能が含まれます。セキュリティインシデントに適切に対応するには、これら3つすべてが不可欠です。.

表1は、これら3つの機能に含まれる11のカテゴリを示しており、それぞれに固有のカテゴリ識別子が付与されています。例えば、検出機能では、DE.AEは「異常とイベント」のカテゴリです。フレームワークに準拠するには、組織はセキュリティインシデントの発生を示唆する可能性のある異常や疑わしいイベントを検知する方法を考案する必要があります。これには、DE.CM（「セキュリティ継続監視」）とDE.DP（「検知プロセス」）を連携させた運用が考えられます。.

表1 – NISTサイバーセキュリティフレームワークの検出、対応、回復機能

SAOによるセキュリティと通信技術の統合

多くの組織は、侵入検知システム（IDS）やセキュリティインシデント・イベント監視（SIEM）ソリューションなどのテクノロジーをフレームワークの検出機能に活用しています。検出機能から最大限の成果を得るには、SAOによってSIEM、IDS、またはセキュリティアラートを生成するその他のセキュリティツール間の連携を実現する必要があります。連携により、生産性を向上させるオーケストレーションと、検出ワークフローの各ステップの自動化が可能になります。.

フレームワークは、事前に計画された対応プロセスを推奨しています。対応カテゴリーに応じて、脅威分析と脅威緩和ワークフローの進捗状況を追跡するための厳格なコミュニケーションプロセスを導入する必要があります。厳格なコミュニケーションプロセスには、統合も不可欠です。メールやチケットシステムなどの関連コミュニケーションシステムをSAOに統合することで、コミュニケーションを自動化し、アラートステータスの伝達という反復的な作業からチームメンバーを解放できます。フレームワークで概説されている対応は、復旧まで継続されます。.

SAOでサイバーセキュリティ人材不足を解決

NISTサイバーセキュリティフレームワークをインシデント対応に活用する際の課題は、利用可能なリソースが必然的に限られることです。サイバーセキュリティチームには熟練したスタッフが限られており、サイバーセキュリティ人材不足は深刻化の一途を辿っています。脅威が増加すると、チームは誤検知に圧倒され、日常的な通知やチケット発行業務への対応に追われて生産性が低下する可能性があります。適切なツールがなければ、チームはサイバーセキュリティフレームワークの基準を効果的に満たすことができません。.

セキュリティの自動化とオーケストレーションは、検出、対応、復旧サイクルの各段階を高速化することで、リソース不足という課題への解決策を提供します。例えば、セキュリティ運用チームがSIEMソリューションからネットワーク上の異常なイベントに関するアラートを受け取ったとします。チームがアラートに手動で対応する場合、チケットの発行、脅威分析の実施、関係者とのコミュニケーションといった、面倒で時間のかかる作業を行う必要があります。.

SAOでは、これらのステップが自動化されます。関連システム間の連携は、定義されたプロセスステップに従って調整されます。SAOソリューションは、アラートの詳細を脅威インテリジェンスシステムに自動的に送信し、 ケース管理 JIRA などのシステムでチケットを作成し、関連する関係者にメールを送信します。.

図 2 – NIST フレームワーク コアの検出機能における検出: 異常とイベント (DE:AE) カテゴリのサブカテゴリ。.

表2は、SAOソリューションがインシデント対応の具体的な詳細にどのように役立つかを示しています。異常・イベントカテゴリ（DE:AE）内の検出機能を用いて、SAOの役割を様々なサブカテゴリに分類しています。例えば、サブカテゴリDE.AE-3では、 “イベント データは複数のソースとセンサーから集約され、相関付けられます。SAO は、複数のソースからの集約と相関付けに必要な手順を自動化できます。. セキュリティオーケストレーション 分析および相関プロセスに関係するシステムを統合することもできます。.

SAOは、インシデント対応ワークフローを変革する可能性を秘めています。適切なSAOソリューションを導入することで、サイバーセキュリティチームはよりスマートに業務を遂行し、アラートやインシデントの発生を即座に把握できるようになります。また、SAOを活用することで、インシデント対応を継続的に改善することも可能です。このように、SAOは組織がフレームワークの上位層へと進み、反復可能で適応性の高いインシデント対応プロセスを構築できるよう支援します。.

SAO は、組織がシステムを調整し、反復可能かつ適応性のあるインシデント対応プロセスを開発できるように支援します。.

スイムレーンとNISTサイバーセキュリティフレームワークによるインシデント対応の改善

Swimlaneは、組織のサイバーセキュリティフレームワークへの準拠とインシデント対応の改善を支援するセキュリティ自動化とオーケストレーションを提供します。実装、使用、管理、拡張が容易なSwimlaneは、オブジェクト指向の手法を採用しているため、セキュリティ運用チームは既存のセキュリティツールの機能を活用できます。.

セキュリティ自動化が組織にどのように役立つかについて詳しく知りたいですか？電子書籍をダウンロードしてください。 セキュリティオーケストレーション、自動化、対応の8つの実用例.

デモをリクエストする

まだ Swimlane Turbine を試す機会がない場合は、デモをリクエストしてください。. 

デモのリクエスト