The Hacker Newsはこのほど、「The New 80/20 Rule for SecOps: Customize Where it Matters, Automate the Rest」において、セキュリティオペレーションセンター(SOC: Security Operation Center)の業務の80%を自動化することで、セキュリティチームの時間の多くを残りの20%に当てることができると伝えた。

The Hacker Newsによると、セキュリティチームは組織の脅威ではないイベントの処理に1日の3分の1を費やすという。このため、非効率で煩雑なセキュリティ情報およびイベント管理(SIEM: Security information and event management)に代わる自動化ソリューションの導入が加速している。脅威の80%は多くの組織に共通しており、自動化ソリューションに任せることができるとしている。残りの20%の作業の遂行にあたっては、カスタマイズ機能を提供できる自動化ソリューションの需要が高まってきているという。

自動化ソリューションでの対応が進められている主な作業は次のとおり。

  • データの取り込みと正規化
  • 検出ルールの大部分を自動化ソリューションに移管
  • 手動タスクや反復的なタスクの負担を軽減
  • 既知の脅威への自動的な対処と、より迅速かつ正確な被害軽減の試み

自動化ソリューションに求められているカスタマイズ機能の例は次のとおり。

  • 組織ごとに異なるさまざまな形式のログを取り込む機能
  • Detection as Code機能。Pythonなどの言語により高度でカスタマイズされた検出方法を記述可能であれば可読性、メンテナンス性の向上が期待できる。また、APIやライブラリの利用によりセキュリティ開発を従来のソフトウェア開発のライフサイクルに近づけることが可能となる
  • 特定の機密レベルをもつ要素、異なる組織や異なる地域からのデータ、サイロ化されたデータなどは実用的な方法で情報をまとめるのに時間がかかる。このような情報をAPI経由で管理できるセキュリティ情報およびイベント管理(SIEM)機能

The Hacker Newsはセキュリティソリューションに万能の答えはないとし、各組織の需要にあわせたカスタマイズ機能と自動化機能を提供できるセキュリティソリューションが求められていると指摘している。セキュリティ製品を開発する企業には、このような需要に応えるため、SOCの作業の80%の自動化と残りの作業を支援するためのカスタマイズ機能を提供できるソリューションの開発が望まれている。