SecOpsの効率が最重要課題に
米国アリゾナ州一番の雇用主であり、病院、学習キャンパス、緊急医療対応所を含む491もの医療センターを運営しているBanner Health。
規模も、管理データの性質もあって、ハッカーにとってはとても魅力的なターゲットだ。そのCISSP兼サイバー・インシデント・マネジメント&フォレンジック部門ディレクターのSam E. Buhrow(サム・E・バロー)氏は70人規模のInfoSecチームの一員として、効率的で迅速なアラート対応を担う。
しかし最近まで、人を多く動員し、システムを活用してもなお、手一杯なのが現状だった。従来、別々の組織として運営されてきたセキュリティーポリシーの策定とセキュリティーオペレーション(SecOps)の分け隔てがグレーになるなか、ポリシーやツールを通して上がってくるアラート等に焦点を当てるのではなく、その事後、インシデント・レスポンスのプロセスの効率性が問われている。
今回はBannerの業務改革を検証して、今後の道筋を探る。
多種多様なプロセス改革
このInfoSecチームでは、数多くのアラートに紛れて本当に対応が必要な脅威を取り逃さないよう、SecOpsの効率性に焦点をあてた運用ワークフローを作り上げている。
これは大きく「アウトソース型」と、「製品選抜型」の解決策に分けられるだろう。前者は文字通り、差支えのないプロセスをアウトソースすることで効率化を図る方法。対して後者は、効率化を支える機能を豊富に搭載した製品を選抜して活用することにより、効率化を図る方法。実際の事例をもとに、これがどのように運用されるのか検証したい。
アウトソース型
アウトソースはコストもかかり、できればしたくないが、場所を選んでアウトソースするのも戦略だ。Bannerではチーム員が重要なアラートや真のセキュリティ・インシデントをハンドリングすることに集中するために、アラートの初期レビューとトリアージをアウトソースしているほか、利用ツールのチューニングも行っている。
アラートのトリアージはシンプルだ。緊急性の低いアラートだけでなく、この手のシステムで多い誤検知のアラートも、MSSPの初期判断を通してスクリーニングすることで、本社担当がこのようなアラートで時間を浪費しないような運用ワークフローを作る。
具体的にはManaged Security Services Provider(MSSP)が米国NISTのサイバーセキュリティ・フレームワークをもとにあらかじめ設定したポリシーに照らし合わせて、アラートの初期判断をする。そこで既存の単純プロセスで処理できないアラートや、脅威なのかそうでないのかが判断しにくいものだけが、本社チームに連絡される。アラートの多くは本社社員に届く前にトリアージされるため、本社先鋭チームの数少ないリソースは「本当に対応しなければいけない作業」に集ることができるのだ。
アウトソースのもう一つの利用方法は「常時チューニング」だ。Bannerでは数あるツールのメンテナンス作業にOpenTextのプロフェッショナル・サービス部門を動員して、さらにビジーワークを削減している。
チームでは様々なツールを複数利用している。アラート型のサイバーセキュリティソフトに加えて、疑いのあるウイルスを「起爆」させられるサンドボックスや、その他フリーウェアも利用している。またマシンをネットワークから隔離してワイプするのと並行して、EnCaseを利用して脅威のリミディエーション(脅威の無効化と削除・復旧)を行ったり、関連作業として、EnCaseで得たスナップショットをVolatilityなどのオープンソースツールに流し込み、感染したマシンのメモリダンプ分析を行ったりもする。
ただ、複数のツールを組み込んだアプローチは、時にはチーム員の時間の浪費にもつながる。
例えばVolatilityについてBuhrow氏は「Volatilityは大好きなのだが、コンフィギュレーションをして随時ツールをアップデートしなければいけない。これには相当な時間を消費することがある」と言っていて、このようなツールのメンテナンス作業をOpenTextのプロフェッショナル・サービス部門にアウトソースして、この手間を省いている。Volatilityの場合、バックエンド作業をBannerに代わって遂行してもらう。EnCaseに関しても、関連レスポンス・ツールと合わせて、チューニングを代理でやってもらう。Buhrow氏のチーム員を単純作業から解放するとともに、常に準備万端なツールを用意できることにより、インシデント・レスポンスのスピードも上がる仕組みだ。
このアウトソース方式には、「育成」という思わぬ利点もある。単純作業から解放された時間は一部、若手アナリストのフォローにも充てられているのだ。長年の経験をもつBuhrow氏のシニアチーム員は「インシデント・コマンダー」として指揮をとり、レベルの高いインシデント・レスポンスのタスクを遂行するより若手のアナリストをフォローしている。「こうすることによって、SecOpsはさらに効率化され、仕事の質も向上する」とBuhrow氏は話す。
製品選抜型
SecOpsチームの運用効率化のもう一つの要素は、ツールの活用を集中させることだ。彼のチームは自動化機能が多くあるOpenText EnCaseの製品を選抜し、社内ですでに利用しているServiceNowのチケットシステムとインテグレーションしている。
今注目され始めているSecurity Orchestration Automation and Response (SOAR)のパイオニア的な取り組みともいえるかもしれない。数あるセキュリティツールの上層に置くことができ、その管理工数を自動化で減らすことができるツールを一つ選んで入れるのだ。
EnCaseを利用したワークフローは「レスポンスの初期行動」の自動化に長けている。何かに感染したエンドポイントがあれば、セキュリティ・アナリストはEnCaseを発動してそのエンドポイントの「スナップショット」をとり、自動でチケット・プロセスを動かしながら一つのプラットフォームでエンドポイントのフォレンジック・レビューを行える。これにより、チーム員はプロセスに関連するビジーワークではなく、さらに脅威への対応に注力できる。
ここで製品を選ばずにすべてインテグレーションしようとすると、複雑さだけが増し、効率がかえって下がってしまうため、製品を選んでインテグレーションするのがポイントだ。Bannerのケースでは、アラートに対応するときにキーとなる作業は何か、に焦点をあてた。アラートに対応するときに大切なのは、きちんとしたバリデーション(検証)とトリアージ。それが出た時点でのエンドポイントの状況を正確に把握し、攻撃者にデータ改ざんのスキを与えないことだ。EnCaseで特に強力なフォレンジック関連の機能は、このキープロセスを押さえている。
まとめ
セキュリティをうたう製品が数多く出回るなかで、Bannerのケースからは予算ではなく効率にピン止めをして「どこをインソースするか」「ノン・エセンシャル(不必要)な作業をどこまで自動化に任せられるか」という、「戦略としての取捨選択」が見えてくる。
SecOpsの効率性が重要課題となるなか、こういったセキュリティ・チームがいかにツールとプロフェッショナル・サービスを活用して、より効率的で効果的な防衛部隊として活動できるか、その道筋を示してくれる貴重な一例だ。
※Journal of Cyber Policy に2018年5月30日掲載の Hugh Taylor氏の記事
『SecOps Productivity, Now at a Point of Criticality』より引用・抄訳http://journalofcyberpolicy.com/2018/05/30/secops-productivity-now-point-criticality/