サイバーセキュリティの自動化: サイバー攻撃と対等に渡り合う手段
近年、サイバーセキュリティの慣例に影響を及ぼす要素が数多く出現しています。例えばデジタル変革ではクラウド ソリューション、eコマース プラットフォーム、スマート デバイス、分散勤務の大規模導入など新たなテクノロジとビジネス モデルを大々的に取り入れました。その結果、新たな脅威、リスク、サイバー犯罪の増加が生じています。
企業がパンデミック後の社会を迎える中で、ハイブリッド勤務、サプライ チェーン リスク、その他のサイバーセキュリティの課題などデジタル変革中に生じたリスクと不確実性の多くは残り続けます。
本記事ではこうしたサイバーセキュリティ課題をいくつか取り上げ、自動化を用いて攻撃と対等に渡り合う方法を解説します。
課題: サイバーセキュリティ人材不足
サイバー攻撃が増加を続ける主な要因の1つが、高度なサイバーセキュリティ人材の不足です。あらゆる業種で出現するサイバー脅威に対処するためセキュリティ人材が求められていますが、全世界の経験豊富なサイバーセキュリティ専門家の総数はニーズに対して不足しています。人材のニーズが増加の一途をたどる一方で、実際の伸びは追いついておらず需給ギャップの拡大が生じています。
この状況は、ソリューションと製品の需要増加を受けて加速度的に成長する予測のグローバル セキュリティ市場とは対照的です。この成長の背景にはサイバー攻撃の増加、デジタル変革による変化、人材不足があり、企業はサイバー攻撃のリスクを検出、緩和、削減するためより高度なセキュリティ ソリューションを購入/導入すると予想されます。
自動化、AI、職業
家庭用の簡素な温度計から病院の換気設備まで自動化システムは至る所に存在します。自動化とAIは同じではありませんが、AIと機械学習(ML)から多くの要素をセキュリティ システムに統合することで、サイバー脅威の自動的な学習、検知、阻止を実現しています。つまり、自動化されたシステムは単に脅威を警告するだけでなく、脅威の無力化に向けて活動します。
詰まるところ自動化の目的は、時間のかかる単調な反復作業を機械に行わせることにつきます。その結果、より重要な業務や単に人間の介入が必要な作業に希少な人材が注力する時間的余裕が生まれるのです。これにより、サイバー部門の効率、費用対効果、生産性を改善できます。
攻撃側も活動の円滑化に自動化を用います。インターネット上で最も高速に拡散したマルウェアの1つであるMyDoomワームは自動化を用いて拡散し、推定380億ドルの被害を与えました。現在も拡散が続いていますが、驚くべきはMyDoomが決して新しいマルウェアではないことです。リリースは2004年で、現在もインターネット上を徘徊しています。
サイバーセキュリティ業界には自動化によって人間が取って代わられるという根深い懸念が存在します。こうした懸念はまったくの見当違いではないものの、現実には自動化は既存のセキュリティ運用で人間を補うために存在します。そして場合によっては、拡大する人材需給ギャップの緩和と解消に貢献します。自動化は非常に高度な技術と受け止められる場合もありますが、常に人間に依存し、設定を自由に変更でき、セキュリティ チームの完全な管理下にあります。むしろ、自動化とAIはアルゴリズム バイアス監査員やマシン リスク責任者などサイバーセキュリティ関連の新しい仕事を生み出します。
自動化のメリット
隠れた脅威の検出から脅威の封じ込めと解決まで、様々な作業を自動化できます。これらのアクションは数秒で完了し、人間の介入をほぼ必要としません。また、セキュリティ オーケストレーション、自動化、レスポンス(SOAR)を通じた自動化はSOC業務を強力にサポートし、生産性とレスポンスを大幅に改善します。2022年版の情報漏えい時に発生するコストに関する調査レポートでは、自動化がデータ侵害のコスト被害を半減し、特定と封じ込めに要する時間を77日短縮することが示されています。1
オーケストレーションを利用すると、運用環境の多数のツールを起動した上でプレイブックを用いてシームレスにツールを連携し、特定のアクションを実施できます。これにより、一貫性があり反復可能なレスポンス プロセスを実現し、セキュリティ担当者が必要とする全情報の一元化も達成できます。
SOARのAI/MLエンジンは効率化にも貢献します。すなわち、アラートの属性を学習して将来的な攻撃の予防に知識を利用できます。処理したすべてのアラートとイベントを用いて将来のために学習するのです。俊敏で予防的なサイバーセキュリティ機能を実現する上で、自動化は重要な役割を果たします。
最も重要な点として、自動化はサイバーセキュリティ チームの充実度を高め、アラート疲れを軽減し、貴重な時間を取り戻します。大量離職の時代で人材の繋ぎ止めは重要課題です。2雇用と継続的なトレーニングに企業が費やす多額の費用と、業務を通じて得られる暗黙知から分かるように、人材の繋ぎ止めは従業員のROIを改善します。
自動化は人材の課題の解決に貢献します。また、オーケストレーション プロセスの中で既存のツールとテクノロジを活用することで、そのROIも改善できます。
どこから着手すべきか
自動化の準備段階として、まずはデータの収集と関連付けを行います。いかに優れた自動化システムでも、効率的かつ効果的に動作するには優れたデータが必要です。データ ソースが多いほど運用の品質が高まります。
エンドポイント、ネットワーク、クラウドなど企業環境のあらゆる側面からデータを収集するべきです。自動化プラットフォームに搭載されたAI/MLシステムにより、これらのデータの分析と関連付けを容易に行えます。この2つの要素がサイバーセキュリティにおける自動化を支えるのです。
次に、既存の標準作業手順書(SOP)を分析し、日常的に繰り返している活動/プロセスの中から、ワークロード削減とアラート見落としリスクの軽減につながるものを探しましょう。また、予測できない形の逸脱や変化が発生しないタスクも探します。これらが最優先の自動化候補です。
これらのプロセスの中でオーケストレーションが必要なツールを特定します。また、統合の実現に必要なAPIも特定(または作成)します。
最後はプレイブックの作成です。プレイブックを用いればプロセスを管理下に置ける上、プロセスの確実な反復と長期的な改善も可能になります。必要な具体的アクション、実行用ツール、その他の追加タスク(ブロック、通知、封じ込めなど)をすべてプレイブックに含めます。
自動化に失敗は許されない
デジタル変革後の社会で企業データ、従業員、顧客を守るため、サイバーセキュリティはあらゆる企業に欠かせない存在です。しかし、攻撃者は絶えず技術革新を行い独創的なアプローチを生み出しているため、単にサイバーセキュリティを実装するだけでは十分ではありません。
企業が技術発展とデジタル変革を追い求める上で、サイバーセキュリティの自動化は単なる推奨事項ではなく、サイバー攻撃と対等に渡り合うために必須の取組みです。
1. Cost of a Data Breach 2022 Report, IBM Security, 2022年7月.
2. Paula Morgan, “Top Five Tips For Retaining Employees During The Great Resignation,” Forbes, 2022年8月4日.