2022年度 第1回定例研究会

セミナーレポート

2022年度第１回定例研究会は、EYストラテジー・アンド・コンサルティング株式会社のパートナー 松下 直 氏をお招きし、「サイバー攻撃に対するインシデントレスポンスの自動化」をテーマに、ご講演を頂きました。

前半では、セキュリティインシデント被害の深刻化とインシデント対応における課題について説明いただきました。サイバー攻撃は多様化・複雑化の一途をたどる一方、それに対する企業は、監視対象の構成を十分に把握できていないことから誤検知や過検知が多発している、インシデント対応プロセスの整備が不十分なために対応が遅れがちである、そしてインシデントの検知や対応にあたる要員が不足しているといった課題に苦慮しています。これらに対し、検知に監視対象となるシステムの構成を十分に活用すること、インシデント対応プロセスを事前に準備して属人性を排除すること、インシデント対応プロセス自体の自動化を進めることが重要であると述べられました。

後半では、課題を解決する方法として、SOARの導入によるインシデントレスポンスの自動化についてご説明いただきました。SOARはSecurity Orchestration, Automation and Responseの略で、検知したイベントに対するチケットの起票、基本的な分析調査、過去に発生した同一チケットの収集、関連するログの収集などを行い、必要に応じて通信の遮断などの封じ込めまでを自動的に行う仕組みです。講演ではウェブサイトへの攻撃検知と対応の事例を紹介いただき、手動で行った場合に45分を要していた対応時間がSOARによる自動化で5分にまで短縮できたとのことで、課題解決に向けてSOARによるインシデント対応自動化の可能性を感じることができました。

インシデント対応のライフサイクルは検知、分析、封じ込め、根絶、復旧から構成されますが、SOARは検知、分析、封じ込めと根絶の一部に対応します。従来はSOCが担っていた検知および分析とCSIRTが担っていた封じ込めおよび根絶の一部までが一連の手続きとして実行されるので、SOARを導入するためにはSOC領域とCSIRT領域で緊密な連携が必要不可欠となります。特に、「なにが検知できるか」ではなく「なにを検知、自動対処したいか」といったアプローチで、CSIRT主導により推進することが重要となります。また、自動化の効果を早期に享受するために、ひとつの監視対象に対する網羅的な自動化を実施するのではなく、リスクの高い領域や日常的な業務において負荷の高い業務から着手することが肝要であるとのことでした。

当日の参加人数は188名です。
講演中からチャットによる質疑応答が行われ、松下様よりすべての質問について丁寧にフォローいただきました。参加者数も非常に多く、本テーマに関する受講者の皆様の関心の高さがうかがえるセミナーとなりました。

講演資料

講演資料は下記からダウンロードできます。（JASA会員／CAIS・QISEIA資格者のみ。ログインが必要です）