SecOpsとは？

セキュリティ運用を短縮した表現であるSecOpsはサイバーセキュリティの統制であり、データ、資産、インフラを既知の攻撃者と未知の攻撃者から防御するために使用されるプロセスと戦略に重点が置かれています。組織のITセキュリティチームは他のチームと協力して、サイバーセキュリティリスクを低減し、運用効率を改善し、攻撃やインシデントへの企業の対応を高速化します。

SecOpsの全体的なミッションは、セキュリティの脅威と脆弱性を特定、評価、軽減し、セキュリティポリシーおよび規制の遵守を保証し、セキュリティインシデントに迅速に対応して回復することによって、企業のデジタル資産と物理資産を保護し、従業員のデジタルの安全性を確保することです。このミッションにおいて、一般的に、このようなプログラムの主な目標はデータの保護です。そして、機密データから知的財産や顧客情報まであらゆるデータが対象になります。

SecOpsは、従来は別個の2つのチームであったセキュリティチームと運用チームの間の連携です。これはきわめて基本的なレベルから始まります。つまり、両方のチームが同じ統合されたツールとプラットフォームを利用して、組織の攻撃対象領域を一元的に把握する必要があります。

また、チームは、特に、インシデント対応、セキュリティガバナンス、ポリシー策定、計画において、共有されたプロセスを導入する必要があります。これにより、確実に、同じ方法で、安全なIT環境を維持するという重要な共通の目標に向かって進むことができます。

これを可能にするには、合同のトレーニングを実施して、両方のチームのメンバーがセッションに出席し、相互の役割、責任、目標を十分に把握する必要があります。

当然、重要なITシステムを保護することを目標としているセキュリティチームと、新しいアプリケーションやサービスの迅速なデプロイを目指しているIT運用チームとの間には、自然に対立が生じます。SecOpsは、組織的、文化的な障壁を乗り越え、セキュリティをITプロセスに統合することで、非効率性や対立を減らせるように模索します。脅威とリスクを軽減する責任は、SecOpsを通して分散されます。運用の専門家とセキュリティの専門家が密接に連携し、脆弱性を最小化しながら、業務の柔軟性を維持します。

1件の侵害でも、予期しない問題が拡大し、数年にわたって組織に悪影響を及ぼす可能性があります。効果的なSecOps慣行がなければ、セキュリティ検出ツールのアラートの誤検知が多すぎたり、アナリストが拡大しすぎたり、対応ワークフローが分断されたりします。そのような組織内のサイロ化した部署では攻撃が特定されないため、攻撃者はそれを悪用し、機密データを取得することができます。

私たちは、これまで何年間も、広範囲な脆弱性、ランサムウェア攻撃、サーバーやデータ侵害など、さまざまな酷い形で、重大なセキュリティインシデントの例を数え切れないほど見てきています。組織にとって重大なセキュリティ侵害は、影響を受けた相手に対する即刻の料金、罰則金、補償を支払う結果につながるだけではありません。システムを（安全に）オンラインに復帰させたり、評判の低下を取り戻したり、知的財産の損失を埋めたりするためにも多大なコストがかかります。効果的なSecOpsは、インシデントによるコストや中断を回避するのに役立ちます。

1. 損害を与えるインシデントのリスクを削減

SecOpsの統合型アプローチは、できるかぎり迅速に脅威が食い止められることを保証するため、リスクが低減されます。また、主要なSecOpsタスクを標準化、合理化することで、セキュリティ脅威を迅速に検出、調査、対応する能力も高まります。これには、事前構築済み検知ルールと機械学習の両方を活用したAIのインサイトに基づく攻撃の自動検出や、対応を迅速化するための自動化などがあります。

2. 運用効率の向上

セキュリティ運用チームとIT運用チームのコラボレーションを推進し、容易にすることで、プロセスが合理化され、コミュニケーションが大幅に効率化されます。プロセスの自動化によってワークフローが改善されるため、これらのチームはインシデント対応を迅速に進め、脅威検知を強化できます。このような運用の効率化によって、リソースの割り当てが容易になり、高い信頼性に基づいて、豊富な情報に基づく意思決定を迅速に行うことができます。これにより、手動の介入やプロセス全体の監視の必要性が低くなります。

3. ダウンタイムと業務の中断の削減

SecOpsによって潜在的なインシデントを迅速に検出し、すばやく封じ込めることで、ダウンタイムを最小限に抑え、事業の継続性を確保します。運用効率は隠れたヒーローです。侵害が発生して初めて、組織は、破壊されたシステムを救うためにリソースを割り当て直し、従業員を集中させ、全力を尽くすことがいかに悲惨であるかを思い知ることになります。SecOpsは、セキュリティインシデントの発生頻度や重大度を低減し、生産性、収益源、顧客満足度を維持することで、中断のない業務を保証するうえで重要な役割を果たします。

セキュリティ運用センター（SOC）を効果的に運用するために、セキュリティチームを支援するさまざまなSecOpsツールが開発されています。

セキュリティ情報およびイベント管理（SIEM）

SIEMソリューションは、SecOpsチームの多くのメンバーにとって、中心的なワークスペースとして機能します。SecOpsチームは、多様な環境データを一元的に収集し、アナリスト主導の手法と自動化された手法で分析を行い、組み込みのワークフローと自動化によって対応することで、サイバー攻撃を迅速に検出して対応することができます。最近では、生成AIと機械学習の進歩の統合により、SIEMの機能がさらに進化しました。レガシープラットフォームからの移行が合理化され、トリアージとインシデント対応のワークフローを通じて、アナリストに方向性が示されるようになりました。

脅威インテリジェンスプラットフォーム（TIP）

脅威インテリジェンスプラットフォーム（TIP）ソリューションは、SecOpsチームが内部および外部のさまざまな情報源から脅威のコンテキストを集約、相関、分析することで、脅威の状況を幅広く把握し、潜在的な脅威や攻撃的な戦術を予測するのを支援します。既存の脅威と新しい脅威に関する最新の情報があれば、何を探すべきか、どのように攻撃をいち早く検知するのかを正確に把握できます。また、このデータによって、現在の脅威を理解し、検出された脆弱性に優先順位を付け、防御策を能動的に改善することができます。基本的には、このプラットフォームは、進化し続ける、潜在的な脅威や新しい危険に関するナレッジベースです。

セキュリティオーケストレーション、自動化、対応（SOAR）：

SOARプラットフォームは、ITサービス管理（ITSM）ツールのセキュリティバージョンと考えることができ、対応を合理化するための多層SecOpsワークフローと自動化機能を提供します。SecOpsでは、対応ワークフローの設計、反復タスクの自動化、対応時間の短縮など、既存のセキュリティツール全体で重要な役割を果たします。

SecOps、DevOps、DevSecOpsは、異なる分野、チーム、プロセスの融合を表す用語です。

SecOps：セキュリティ運用チームとIT運用チームは協力して、セキュリティ慣行の導入と改善、脅威検知の強化、調査の精度向上、対応時間の短縮を実現することで、セキュリティ態勢を改善します。

DevOps：運用チームとソフトウェア開発チームを連携させることに注力します。通常は、継続的な統合と継続的なデリバリーのほか、自動化を活用した、迅速かつ信頼性の高いソフトウェアの構築とデプロイが重視されています。ここでの主な目標は、信頼性を損なわずに、ソフトウェア開発のスピードを上げ、簡単にすることです。

DevSecOps：上記の2つのチームの組み合わせ。セキュリティ慣行がDevOpsワークフローに統合されます。つまり、セキュリティは、結果論ではなく、開発プロセスを通して共有された責任となります。このアプローチの目標は、開発サイクルのできるかぎり早い段階で脆弱性を特定してそれに対処して、リスクを低減し、全体的なセキュリティを強化することです。

SecOpsチームには、高い技術を身に付けたITとセキュリティの専門技術者が集められ、組織全体で脅威を監視し、リスクを評価します。サイバー脅威から組織を保護するために使用される人、プロセス、ツールを包括しているSOC（セキュリティ運用センター）にとって非常に重要です。SecOpsチームとその下位に配置されるチームは、物理的、仮想的、またはその両方のハブの役割を担うSOCを拠点として活動します。

SOCチームの規模と役割は、組織の規模やニーズに応じて、大きく異なる場合があります。非常に小さい組織では、わずか数人の兼任の担当者を置き、マネージドセキュリティプロバイダー（MSSP）のSecOpsサービスを活用することでチームを強化する場合があります。他方、大規模な組織では、非常に大きい最大規模のSOCチームが世界中に分散して、24時間年中無休体制で対応する場合があります。

主なSOCの役割は次のとおりです。

• セキュリティ技術者。セキュリティインフラを管理、保守し、ツールとシステムが正しく構成され、最適化されていることを保証します。
• SOCアナリスト。セキュリティイベントをリアルタイムで監視、分析し、インシデントを検出して、それに対応します。
• インシデント対応者。セキュリティインシデントの特定、調査、解決を行います。必要に応じて、他のチームメンバーとの調整も行います。
• 脅威ハンター。組織のネットワークに隠れた脅威を能動的に探します。
• SOCマネージャーまたは担当役員。SOCの全体的な業務を監督し、効果的なコラボレーションと効率を保証します。

その他の役割として、セキュリティ運用をIT機能と統合するIT運用マネージャーや、ITシステムの円滑な運用を保証し、セキュリティチームをサポートするシステム管理者などがあります。

統合と自動化

スムーズなSecOpsの導入には、統合と自動化が欠かせません。可能なかぎり、システムを相互に連携させるか、少なくとも、すべてのシステムが一元化されたシステムを参照するようにします。自動化することで、SecOpsチームの時間と作業を大幅に削減できるため、解放されたチームは反復的なプロセスの改善に注力できるようになります。

AIインサイト

効果的に活用された生成AIは、段階的なワークフローを通してアナリストに方向性を示し、アナリストが次にすべきことを理解できるように支援します。また、AIによって、アラートの優先順位付けと文脈化を行うことで、アラート疲労を軽減し、調査と対応プロセスを合理化します。AIはセキュリティ運用の効率と効果を高め、高度なサイバー攻撃に対する防御をモダナイズするのに役立ちます。

脅威インテリジェンスやその他のコンテキスト

脅威インテリジェンスの重要性を過小評価しないでください。原則として、この情報を使用して、インシデント対応計画を定義または再定義してください。基本的に、問題を把握し、それにどう対処するかについて明確な計画を立てる必要があります。

部門横断的なコラボレーション

SecOpsは、チームが一体となり、定期的にコミュニケーションを取り、一緒にトレーニングを受け、同じ目標を共有することで初めて機能します。これにより、業務のすべての側面において、セキュリティ対策が両方のチームに統合されていることが保証されます。

Elastic Securityは、AIを活用したセキュリティ分析でSecOpsをモダナイズし、SecOpsワークフローのスピードを上げ、リスクを低減します。無制限のスケーラビリティ、高度な分析、生成AIによるインサイトを得て、盲点を排除し、防御を強化して、世界的なサイバースキル不足に対応することができます。

詳細については、どのようにElastic SecurityがSecOpsをモダナイズするのかをご覧ください。

• セキュリティ運用チーム向けAI
• AIを活用したSIEMソリューション＆セキュリティ分析
• SIEMの購入者ガイド