ランサムウェアや内部犯行をはじめとした脅威によって、事業の停滞を余儀なくされるセキュリティインシデントが相次いでいます。コロナ禍に始まった在宅勤務はハイブリッドワークへとシフトする中、アプリケーションのクラウド移行によるワークロードのハイブリッド化、取引先やソフトウェアを含むサプライチェーンとのシステム連携などにより、ITインフラが拡張し攻撃対象領域は拡大し続けています。組織内部に潜む脅威をいかにして迅速に検出して対応、復旧できるかがセキュリティオペレーションの重要なテーマになっています。
人材・スキル不足と属人化がもたらす影響
さまざまな産業分野で人材不足・スキル不足が問題となっていますが、サイバーセキュリティの領域では特に深刻です。パロアルトネットワークスが過去に実施した調査では、スキル不足、属人化、人材不足はセキュリティ対策上の課題の上位3位を占めていました。人材不足やスキル不足はインシデントへの適切な判断や対応を困難にし、属人化は同じシナリオでも一貫性のない判断や対応を誘発するリスクがあります。
一方でスキルをもった優秀なセキュリティ人材を抱えている企業や組織でも、人材面での問題がないとは言えません。人材はいても、エンドポイントやネットワークなどの領域ごとに運用がサイロ化していることで、さまざまなセキュリティデータがあっても可視性が限定されることがあります。また、連日のようにアラートを見続けることによる「アラート疲れ」の問題もあり、モチベーションの低下から結果的に数年で転職してしまうといったケースも珍しくありません。
セキュリティの実効性を高く維持することはもちろん重要ですが、同時にセキュリティ人材のモチベーション維持や流出防止も合わせて重要なテーマになっています。
AIと自動化によるセキュリティオペレーションの変革
セキュリティオペレーションにおけるさまざまな課題を解決できるのがAIと自動化です。例えば、AIドリブンのXDR(Extended Detection and Response)を活用することで、従来のような相関分析のロジックの作り込みやアラートの監視業務からアナリストは解放され、データの紐付けや相関分析、トリアージはAIが自動で行ってくれるようになります。アナリストは危険度や緊急度の高いインシデントへの対応にフォーカスできます。
インシデントにはさまざまな種類が存在しますが、フィッシングメールのリンクを従業員が踏んでしまった、業務用端末がバックドアに感染してC&C通信が発生したなど定型的なものも数多くあります。チケット管理から通信の遮断などのインシデント対応をシナリオベースで定型化した上で自動化することで、エンジニアは反復的な業務から解放され、スレットハンティングなどのよりモチベーションの上がる業務に時間を費やすことができます。
サイバーセキュリティの領域でのAIや自動化は、企業や組織の防御力を高める、対応スピードを上げることができるのはもちろん、インシデント対応をはじめとしたセキュリティオペレーションを効率化、高度化すると同時にアナリストのリテンションにも繋がるというメリットがあります。従来の「人」が中心となるアプローチからAIや自動化といった「テクノロジー」が中心となったセキュリティオペレーションへの発想の転換は大きなメリットをもたらしてくれるはずです。
パロアルトネットワークスのセキュリティオペレーションプラットフォームであるCortexは、AIや自動化をフル活用することで、セキュリティのアウトカムにフォーカスし、従来のセキュリティオペレーションを発想レベルから転換してくれるプラットフォームとなっています。パロアルトネットワークス自身のSOCでも、CortexによるAIドリブンのアナリティクス、自動化によるインシデント対応は中心的な役割を担っています。
AIや自動化がセキュリティオペレーションにもたらすメリットや、パロアルトネットワークスのSOCがAIや自動化をどのように活用しているかの詳細は、パロアルトネットワークスでSOCエンジニアを務めるDevin Johnston、Cortex フィールドCTOのLen KleinmanとのFireside Chatのビデオをご覧ください。