セキュリティ運用：自動化は自動化を意味する必要がありますか？

機械学習とAIには多くの可能性があるため、インシデント対応はますます自動化されるはずです。プロセス全体がより効率的になりますが、自動化は、人的要素を放棄せず、CISOが持つかけがえのない知識と専門知識のために、すべてのサイバーセキュリティイベントを制御できるようにすることなく、注意して特定の時点まで実行する必要があります。まだ解決されていないこれらのテクノロジーの明らかな欠点

近年、サイバーセキュリティ業界では機械学習とAIの分野での進歩がますます顕著になっています。インシデント対応の取り組みを合理化し、より効果的にするために設計されたさまざまなソリューションは、現在これらのテクノロジーを採用しています。

インシデント対応プロセス内の特定のタスク、特に日常的および機械的な作業を伴うタスクを自動化することで、組織がサイバー攻撃に対してより回復力を発揮できるようになることは間違いありません。ただし、サイバーセキュリティの専門家の中には、プロセスの一部の側面を自動化することと、プロセス全体を自動化することを同一視する傾向があります。これは、実際には2つの異なる概念です。

サイバーインシデント対応に関しては、自動化と自動化は同義語と見なされるべきではないことに注意することが重要です。

>関連項目：セキュリティの自動化：ITの生産性とネットワークの復元力の向上

本質的に、自動化は、オーケストレーションソリューションと組み合わせると、サイバーセキュリティイベントに専念するセキュリティ専門家の時間の大部分を通常消費する最も反復的で日常的なタスクを置き換えることで反応時間を短縮し、セキュリティ専門家がプロセス全体を実行し、意思決定段階で人間の判断を使用する可能性を維持します。

一方、自動とは、基本的に、マシンへのインシデントを完全に制御することを意味します。これにより、場合によっては誤った結果が生成され、組織に深刻な損害が発生することさえあります。

CISOが「新しい自動化された世界と自動化された世界」をどのようにナビゲートしているか

自動応答のアイデアがますます注目を集めているこの新しく作成された環境では、サイバーセキュリティの専門家コミュニティ内で発生する主な質問の1つは、CISOがそれをどのようにナビゲートしているか、完全な自動化を実装することを熱望しているかどうかです。それが伴う潜在的なリスクを認識し、組織化されたアプローチに固執することを決意しています。

自動インシデント対応を採用しようとするCISOはたくさんいると言えますが、その前に知っておく必要があるのは、そのような動きに関連する多くの課題とハードルがあるということです。

たとえば、このタイプのシナリオから発生する可能性のある特定のコンプライアンスリスクがあります。組織は、特定の期間内に情報漏えいについて顧客に通知し、それらの情報漏えいに関するレポートを適切な当局に提出する必要があるため、データ漏えい通知法の遵守はインシデント対応の分野で最も重要です。

>関連項目：モビリティには、セキュリティが自動化と密接に関連していることが求められます

この種のコンプライアンスを達成できるようにするために、組織は自動インシデント対応システムに頼ることができません。これは、違反の範囲、重大度、および影響を評価するプロセス中に人間の入力が必要になるためです。これは、組織ができる前に完了する必要があります。特定の違反が通知法の対象となるかどうかを決定します。

例として、2018年5月に施行される一般データ保護規則（GDPR）は、情報漏えいに気付いてから72時間以内にデータ漏えいを経験した特定の組織に要求する厳格な規則の1つです。違反が悪影響を及ぼしたと判断された場合は、その違反の影響を受けた個人に通知します。

これらの事実を判断し、違反を報告する必要があるかどうかを判断するには、組織はそのような規制の存在を認識し、それらを詳細に理解し、それらの規制に従って対応するサイバーセキュリティの専門家を必要とします。これは自動インシデント対応システムです。することができません。これらの規制に従わなかった場合の制裁措置は、組織の収益に深刻な打撃を与える可能性のある高額の罰金など、かなり厳しいものになる可能性があります。

サイバーセキュリティは将来的に人的要素を維持しますか？

サイバーセキュリティコミュニティで提起されているもう1つの大きな問題は、インシデント対応における人的要素の必要性がまだあるかどうかです。機械学習と人工知能の分野における急速な進歩により、この質問が明らかになり、自動化の支持者は、それがサイバーセキュリティの論理的かつ不可避の次のステップであると主張しています。

自動インシデント対応を行うという考えは魅力的に聞こえるかもしれませんが、いくつかの重要な理由により、人的要素がサイバーセキュリティにおいて重要な役割を果たし続けるというより合理的で根拠のある意見です。何よりもまず、前述のように、規制順守の確保など、インシデント対応の多くの重要な側面で人間の判断が依然として必要であるという事実があります。

>関連項目：自動化：ネットワークの必要性

次に、経験豊富で高度なスキルを持つサイバーセキュリティの専門家は、インシデント対応オーケストレーションプロセスにおいて不可分の要素であり、今後もそうあるべきです。オーケストレーションは、セキュリティチームが、人間の入力を必要とする準備とインシデント後の分析に加えて、復旧や根絶などの重要な側面の制御を失うことなく、インシデント対応プロセス全体を効果的かつ効率的に実行できるようにするために必要です。

さらに、CISOは、組織内のすべての従業員のサイバーセキュリティ意識を高め、将来のサイバー攻撃に対する組織の回復力を強化するなど、インシデント対応に関連するより広範囲にわたる活動の一部であり続けることが間違いなく期待されています。

簡単に言えば、機械学習とAIはプロセス全体をより効率的にする可能性が高いため、インシデント対応はますます自動化されるはずですが、自動化は慎重に、特定の時点まで行う必要があります。人的要素を強化し、CISOが持つかけがえのない知識と専門知識、およびまだ解決されていないこれらのテクノロジーの明らかな欠点のために、CISOがすべてのサイバーセキュリティイベントを制御できるようにします。

DFLabsの創設者兼CEOであるDarioForteが提供

英国最大のテクノロジーリーダーシップ会議であるTechLeadersSummitが、9月14日に開催され、40人以上のトップエグゼクティブが登録して、今日の企業が直面している最も破壊的なイノベーションを取り巻く課題と機会について話します。こちらから登録して、この権威あるサミットであなたの場所を確保してください