SecOps 成功のための5つの機能とベストプラクティス

SecOps（セキュリティ・オペレーション）とは何か？

セキュリティ・オペレーション（SecOps）は、セキュリティ・チームとITオペレーションの相乗効果である。情報セキュリティの実践を改善するために、ツール、プロセス、テクノロジーを統合することが含まれる。

従来のセキュリティ・オペレーション・センター（SOC）では、セキュリティ・チームとオペレーション・チームの間にしばしばギャップがありました。それぞれ優先事項、手順、ツールが異なるため、取り組みが競合し、非効率になり、結局、セキュリティ対策の効果が低下する。

例えば、SOCが運用するファイアウォールや侵入防御システム（IPS）のようなセキュリティツールが、ビジネスに不可欠なアプリケーションをシャットダウンし、組織に損害を与えるケースもある。セキュリティに対する全体的なアプローチは、サイバー攻撃とダウンタイムが組織にとって2つのリスクであり、どちらも無視できないものであることを認識する。

セキュリティチームと IT 運用チームがより緊密に連携するようになると、IT 環境の生産性とセ キュリティの維持に関連する優先事項に対する責任を共有するようになる。これにより、セキュリティリスクに対する可視性が向上し、IT の目標や優先事項、セキュリティプロセスによる支援方法に関する理解も共有される。SecOps によってもたらされるもう 1 つのメリットは、セキュリティチームと IT 運用チームの間でツールと自動化を統合し、俊敏性と効率性を向上させることである。

SecOpsの利点と目標

SecOps の目標は、円滑な開発サイクルを支援しながら、単にセキュリティ対策を実施することにとどまらない。効果的な SecOps ポリシーは、すべてのチームにわたるセキュリティ連携の促進、SecOps 実装の進捗を示すマイルストーンの設定、全員がセキュリティのベストプラクティスに従うことの徹底など、明確な目標を設定する必要がある。

セキュリティのベストプラクティスは、直前や緊急時の検討事項ではなく、日常業務の一部であるべきだ。十分に計画された SecOps 戦略は、いくつかのメリットをもたらすはずである：

• より多くの人員をデッキに配置する -セキュリティの責任を各チームに分散させることで、増大する脅威や進化する脅威に、より多くの人員で対処できるようになる。
• セキュリティの優先順位付け -DevOpsチームは、セキュリティをおろそかにしてスピードを重視することが多い。最初からセキュリティを優先することで、SecOpsは全体的なセキュリティとスピードの両方を向上させるのに役立つ。
• アプリケーションのバグが減ったセキュリティーをより徹底させるということは、生産現場に届くバグをより少なくするということだ。
• セキュリティは技術革新に対応する。技術革新がセキュリティを上回れば、セキュリティは負債になりかねない。
• より迅速な対応 -攻撃者は、脆弱性をより迅速に悪用する方法を見つけるようになっており、迅速な対応が求められている。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、セキュリティ・オペレーション（SecOps）のプロセスを最適化し、Exabeamのようなツールを活用してセキュリティとITのコラボレーションを強化するヒントを紹介しよう：

リアルタイム・コラボレーション・ツールを優先する
インシデントのシームレスなエスカレーションを可能にするために、セキュリティ・ツールと統合された ServiceNow のような ITSM プラットフォームを使用する。例えば、Exabeam が異常を検出した場合、DevOps の迅速な解決のために、コンテキスト・データを含む自動チケットがトリガーされるようにする。

SecOps と DevOps の継続的な連携を促進する
チーム横断的な定例会議を設け、KPI を共有することで、SecOps と DevOps がセキュリ ティ目標について確実に一致するようにする。統合された発券システムなど、脆弱性の追跡と解決のための共有ツールを使用して、サイロ化を抑制する。

インシデントレスポンスに階層型自動化を導入
プレイブックを使用して、ログの集約や脅威の濃縮などのルーチンタスクを自動化します。自動化の偏りを避け、重要な脅威が効果的に対処されるように、リスクの高いインシデントにはアナリストによる手動レビューを予約します。

異常検知のための行動ベースライン
Exabeam のようなツールを活用して、ユーザー、エンドポイント、アプリケーションの行動ベースラインを確立します。これらのベースラインは、高度な持続的脅威（APT）やインサイダーリスクを示す微妙な逸脱を特定するのに役立ちます。

脅威情報に基づいた防御戦略の採用
脅威モデリングとインシデント対応のプレイブックにMITRE ATT&CKテクニックを組み込みます。これにより、SecOps チームは攻撃者の戦術を理解し、脅威にプロアクティブに対応できるようになります。

5つの重要なSecOps機能

多くの IT 組織には専用のセキュリティ・オペレーション・センター（SOC）があり、SecOps チーム・メンバーが協力してセキュリティ活動を実施している。SOCは、組織の情報セキュリティ対策の中枢神経系であり、SecOpsによって、より効率的で自動化され、組織の他の部分との統合が進んでいます。関連コンテンツSecOpsガイドを読む。

1.セキュリティ監視

SecOpsチームは通常、組織全体のアクティビティを監視する責任を負っている。これには、プライベート、パブリック、ハイブリッドのクラウド環境に展開されたネットワーク、エンドポイント、アプリケーションが含まれます。このモニタリングには、セキュリティ・イベントだけでなく、アプリケーションとインフラストラクチャの運用の健全性とパフォーマンスも含まれます。

2.脅威インテリジェンス

セキュリティ・チームやセキュリティ・ツールが、直面している脅威行為者、その背景や動機、戦術、技術、手順（TTP）を知ることで、より効果的になることは広く認識されている。

SoCチームは、脅威インテリジェンスを収集し、サードパーティプロバイダから取得し、セキュリティプロセスに統合する責任を負う。脅威インテリジェンスとは、組織が直面しているサイバーセキュリティの脅威に光を当てる標準化された形式のデータである。

脅威インテリジェンスは、人間のアナリストが直接使用することも、他のセキュリティ・ツールと統合して使用することもできます。例えば、脅威インテリジェンスはSIEMから送信されるアラートにコンテキストを追加したり、既知の悪質なIPアドレスのリストを提供し、ファイアウォールで即座にブロックしたりすることができる。

脅威インテリジェンスは「フィード」としてパッケージ化されている。これらのフィードの中には無料のものもあれば、セキュリティ・ベンダーやセキュリティ・リサーチ組織が商業的に提供しているものもある。脅威インテリジェンス・プラットフォームは、SecOpsチームが関連するすべてのフィードを取得し、整理し、関連するセキュリティ・ツールと統合するのに役立ちます。

3.トリアージと調査

SecOps チームは、セキュリティ関連のイベントを分析・調査できる高度なツールをますます利用できるようになっている。しかし、多くの組織では、脅威の検知、調査、対応（TDIR）のプロセスが十分に定義されていない。その結果、アナリストによって脅威の分析と検出の方法が異なるため、時間が浪費され、（ある方法が他の方法よりも優れている可能性があるため）検出にギャップが生じる。

もう1つの課題は、従来のSIEMではセキュリティ・チームがすぐに使える洞察が得られないことだ。SIEMは複雑なカスタマイズをサポートしているため、チームはSIEMを特定のビジネスニーズに合わせてカスタマイズするために多大な労力を費やすことになる。このため、セキュリティ・イニシアチブの価値を高めるまでの時間が遅れ、投資後でさえ、多くのプロジェクトで重要な脅威に対するカバレッジの向上は限定的です。

最新の SIEM は、エンドツーエンドのワークフローとパッケージ化された分析パッケージを提供し、TDIR プロセスの自動化と標準化を可能にします。これにより、チームは複雑な実装を行うことなく、初日からソリューションの価値を引き出すことができ、最も重要な脅威の検出とトリアージがより効果的に行えるようになります。

4.インシデント対応

SecOpsチームは、組織がどのようにサイバー攻撃を検知し、それに対応するかを定義するインシデント対応計画を実施する責任を負う。SecOps組織内のインシデント対応チームは、以下のプロセスを担当する：

1. 明確なインシデント対応計画を策定し、インシデントに備える。
2. サイバー攻撃を確認し、その重大性を理解するために、インシデントを検出し、分析する。
3. 脅威を封じ込め、根絶し、影響を受けたシステムを復旧させる。
4. インシデントから学び、セキュリティプロセスを改善するために、インシデント後の活動を実施する。

5.フォレンジックと根本原因分析

フォレンジック分析とは、セキュリティ・インシデント、パフォーマンス問題、その他の予期せぬ事象の根本原因を特定するのに役立つ情報を収集・分析するSecOpsチームの能力です。SecOps チームは、専門的なソフトウェア・ツールを使用して、影響を受けたシステムで何が起こったかを特定し、根本原因分析を実行し、脅威や誤動作がさらなる損害を与える前に対応します。

関連コンテンツSIEM AIに関するガイドをお読みください。

SecOps導入のベストプラクティス

SecOpsのスコープを定義する

SecOps 戦略を策定する際の最初のステップは、企業固有の要件とユースケースに基づいてその範囲を決定することである。タスクの中には、社内のセキュリティチームに依存するよりも、アウトソーシングする方が有益なものがあるかもしれない。例えば、セキュリティテストは、CI/CD ワークフローの一環として開発段階で実施することが可能であり、また、実施すべきである。しかし、これだけでは、構築中のアプリケーションが悪意のある行為者によってクラックされたり、改ざんされたりしないことを保証するには不十分である。

さらに、新しい脆弱性やエクスプロイトが公開された場合、質問、情報共有、自動エスカレーションのために、SecOpsとDevOpsの間にクリーンで直接的な通信経路が必要である。最近の例を挙げると、SecOpsチームは、"私たちの環境でLog4Jを使用していますか？"という質問に対する回答を支援し、インシデントやチケットをDevOpsチームに自動的に割り当てて、脆弱なインスタンスを利用した侵害や悪意のある活動の兆候を探りながら、パッチ適用やアップデートを行うことができる。

反復可能なワークフローの構築

SecOpsチームは、企業のインフラ全体でさまざまな動的な課題に直面しなければならない。運用チームは通常、すべてのアプリケーション、サーバー、環境に包括的なパイプラインを適用するプロセス駆動型のアプローチを採用している。SecOps はこのアプローチをセキュリティにも拡張し、自動化されたパイプラインと IaC ツールによってセキュリティ・プロセスを実装する。

セキュリティの脅威は多種多様で複雑であるため、各セキュリティプロセスでは組織のニーズの一部にしか対応できない。効果的な SecOps プロセスは、IT インフラ全体を包含し、ほとんどの脅威に対応できる幅広いものでなければならない。SecOpsチームは、さまざまな脅威に対して定期的にツールを再構成する必要があるかもしれないが、SecOpsは全体として統一されたプロセスであるべきだ。

赤青チーム演習の実施

SecOps チームは、レッド・ブルー・チームの訓練演習を実施することで、脅威インテリジェンスに関する専門知識を向上させることができる。赤のチームがシステム攻撃を試み、青のチームがシステムを防御する。このアプローチは、セキュリティ担当者がスキルを向上させ、さまざまな攻撃手口を予測するのに役立つ。また、組織のセキュリ ティポリシーと管理策の欠点を特定するのにも役立つ。

レッドチームがポートスキャン、フィッシング、ペンテストのテクニックを使ってシステムに侵入する一方で、ブルーチームは確立されたSecOpsの責任を遂行し、その有効性を評価する。両チームとも、活動内容や調査結果を詳細に記したレポートを作成する。時には、第3の「紫」チームが仲介役となり、両方のレポートをレビューすることもある。

適切なプロセスを自動化する

自動化は、特に大規模な分散環境においてSecOpsを成功させる鍵である。自動化によって、脆弱性スキャンやアクティビティ監視のようなリアルタイムのセキュリティ・プロセスが可能になり、迅速な対応とスムーズな開発サイクルが実現する。自動化スイートは、インシデント対応ポリシーに基づいて、人手を介さずに一部の脅威を修復することができます。

しかし、一部のプロセスでは、特に複雑なタスクや特殊なタスクが含まれる場合、人の手を必要とします。SecOps チームは、インシデント対応プレイブックを使用して、特に単純で繰り返し可能なプロセスについては、ほとんどのタスクを自動化できる。しかし、より高度な脅威については、人間のセキュリティ専門家が調査し、対応する必要がある。SecOps チームは、何を自動化できるか、または何が自動化できないかを理解する必要がある。

デリバリー・パイプライン全体にセキュリティを組み込む

SecOps チームは、デリバリーパイプラインのあらゆる段階でセキュリティ脅威に対処しなければならない。従来のセキュリティチームは通常、デプロイ前にコードが安全であることを確認するために開発者や運用チームと連携するのではなく、本番環境でデプロイされたアプリケーションに焦点を当てる。このアプローチでは、セキュリティの負担が大きくなり、後の修正が必要になったり、アプリケーションのパフォーマンスに影響を与えたりすることが多い。

最新の SecOps チームは、開発者が新しいコードを書くとすぐにスキャンを実施し、早期に脆弱性を探す。ソフトウェアデリバリライフサイクル全体を通じてさまざまなセキュリティテストを実施し、アプリケーションのバグや脆弱性を継続的に監視する。

SOCの責任を明確にする

組織保護における SOC チームの役割を定義したインシデント対応計画を策定する。SOC の責任には以下が含まれる：

• コミュニケーション-​ ソフトウェアの構成分析やその他の潜在的な脆弱性について質問するために、DevOpsとどのように関わるべきかを知り、情報共有を促進するためにSLAを作成する。
• インシデント調査 -アラートをフィルタリングし、イベントを調査して、実際のセキュリティインシデントと誤検知を特定する。
• 優先順位付け-検出された脅威をトリアージし、どのインシデントがより重大なリスクをもたらすかを特定する。
• インシデント対応プロセスの調整 -さまざまな利害関係者と関わり、ツールを活用してインシデント対応を指揮・監督する。特に、重要な脆弱性にパッチを適用したり、DevOpsによってインシデントを修復したりするためのチケットを割り当てる。

ExabeamとSecOps

Exabeam Fusionは、異種のセキュリティ・システムやエスカレーション・ツール、統合ツール間のインプットとアウトプットを標準化し、双方向のマシン・ツー・マシン・コミュニケーションとコントロールを可能にします。自動化と緊密に連携したオーケストレーションは、アナリストが侵害の指標をピボットし、ITサービス管理（ITSM）統合を通じてエスカレーションし、人手を介さずに適切な情報を適切な手に届けることを支援します。

セキュリティ・オペレーション・プラットフォームは、250を超えるベンダーと500を超えるセキュリティ・ツールと統合し、人、エンティティ、サービス・アカウントの動作の異常を発見します。ターンキー・プレイブックとエスカレーションにより、エコシステム全体のさまざまなインプットからセキュリティ・イベントを発見し、一貫性のある反復可能な方法でエスカレーションするという調査手順全体を自動化します。