ネットワークの増加に比例して、サイバー攻撃のリスクが産業を問わず高まっているのはご存じの通りです。『令和4年版情報通信白書』（総務省）によると、2018年から2021年にかけて「NICTER（※）におけるサイバー攻撃関連の通信数」は約2.4倍に増加。特に今後の普及が予想されるIoTネットワークについては、その影響範囲の大きさやライフサイクルの長さによる危殆化（きたいか）、監視の行き届きにくさなどの懸念点が指摘されています。

ネットワークの普及に合わせて、我々のサイバーセキュリティ対策も進化することが求められています。本記事では、その有力な施策として実用化の進む、SOARなどによるサイバーセキュリティ自動化やサイバーセキュリティへのAI活用などについて解説します。

※…Network Incident analysis Center for Tactical Emergency Response（戦略的危機対応のためのネットワークインシデント分析センター）、無差別型サイバー攻撃の動向把握を目的に、国立研究開発法人情報通信研究機構（NICT）により運営されているシステム。

サイバーセキュリティ自動化は二つのソリューションに分けられる

サイバーセキュリティ自動化には、大きく分けて「サイバー攻撃を防止・検知する」ソリューションと「サイバー攻撃に対処する」ソリューションが存在します。

前者の例として挙げられるのが以下のような機能です。

• アタックサーフェス管理（ASM）（※1）を通したサイバー攻撃の検出
• セキュリティ情報イベント管理（SIEM）によるサイバーマネジメント状況の管理
• パッチ管理のオートメーション化
• リスクアセスメント・リスクスコアリングの代行

また、後者の例としては以下のような機能が挙げられます。

• インシデント発生時の優先度判断の自動化
• プレイブックに基づいたインシデント対応の遂行
• デジタルフォレンジック（※2）やインシデント対応状況の可視化・共有、レポート作成などの代行

こうしたサイバーセキュリティの自動化のためのソリューションが求められるのには、冒頭で述べたようなサイバー攻撃の増加・巧妙化、ネットワークの広がりに対し、IT人材の供給が不足しているという事情があります。特にサイバーセキュリティに精通した人材となると、ほとんどの企業にとって確保は容易ではありません。サイバーセキュリティ自動化の体制を整えることは、多くの企業にとって合理的な投資といえるでしょう。

※1…「アタックサーフェス管理（ASM）」について詳しくは『製造業に対するサイバー攻撃が急増中　対策のポイントは「アタックサーフェス」の可視化』を、ぜひご覧ください。
※2…「デジタルフォレンジック」について詳しくは『情報システム担当が知っておきたいデジタルフォレンジック』を、ぜひご覧ください。

サイバーセキュリティ自動化の手法「SOAR」とは？

2010年以降の10年近くで、サイバーセキュリティの基本は、外部ネットワークは危険で信頼せず、内部ネットワークは安全で信頼するということを前提とした従来の「境界型防御」から、外部も内部も危険であり信頼しないという前提の「ゼロトラストセキュリティ」に移行しました。

そんな中で注目を集めるのが「SOAR（ソアー）」と呼ばれるサイバーセキュリティ自動化ソリューションです。

「Security Orchestration、Automation and Response(セキュリティのオーケストレーション、自動化とレスポンス)」の頭文字で構成されたSOAR。「オーケストレーション」とは、オーケストラが指揮者のもとさまざまな特性を持つ楽器を制御し、統合された楽曲を演奏するように、社内外の情報システム・サービスをソフトウエアによって統合管理することを意味します。

すなわち、SOARにセキュリティにまつわる情報を集約し、さらにプレイブックに従ったレスポンスを行わせることで、ゼロトラストセキュリティの自動化を進めるまでが同ソリューションの射程にあります。SOARはセキュリティ情報イベント管理（SIEM）と補完的な関係にあり、SIEMでITインフラのサイバーセキュリティ状況を管理し、そのデータを元にSOARで脅威の分析やインシデントへの初動対応を行うといった活用法が一般的です。

サイバーセキュリティにおけるAIの活用が不可欠になる理由

サイバーセキュリティ自動化において、AI（人工知能）や機械学習を活用することも今後不可欠となることが予想されます。なぜなら、ファジング（ランダム・不正なデータをシステムに入力することで脆弱性やバグをあぶりだす手段）や、自然言語処理を用いたなりすましなど、AIを用い、巧妙化したサイバー攻撃手段がすでにいくつも現れ始めているからです。

AIに対抗できるのは、それもまたAI。AIファジングテストやフィルタリング、ふるまい検知など、攻撃者の先手を取ったAI×サイバーセキュリティを講じることがその有効な対策となります。近年は、SIEMやSOARにも、機械学習を用いた相関分析による脅威の優先順位付けや、未知の脅威に対する防御といった機能が搭載され始めています。

自動化・AI活用が進むからこそ、人間の役割はより重要に

サイバーセキュリティ自動化の実現方法としてのSOAR、SIEMや、AI活用の未来について論じてまいりました。サイバーセキュリティの自動化やAI活用が進んでも──むしろ進むからこそ、最終的な意思決定や臨機応変な発想が可能な人間の役割はより重要になるはずです。自動化により生じたリソースをIT人材の育成に投じることも見据えつつ、貴社のセキュリティ環境のアップデートに本記事の知見をお役立てください。