View a markdown version of this page

インシデント対応の自動化 - AWS セキュリティインシデント対応ガイド

インシデント対応の自動化

セキュリティエンジニアリングとオペレーションの機能を自動化するには、AWS の包括的な API とツールのセットを使用できます。アイデンティティ管理、ネットワークセキュリティ、データ保護、モニタリングの各機能を完全に自動化できます。セキュリティのオートメーションを構築すると、人間がセキュリティ体制をモニタリングして手動でイベントに対応する代わりに、システムがモニタリングしてレビューし、対応を開始できます。

インシデント対応チームが同じ方法でアラートに対応し続けると、アラート疲れになるリスクがあります。時間の経過とともに、チームはアラートに対する感度が鈍くなり、通常の状況の処理で間違いを犯したり、異常なアラートを見逃したりする可能性があります。自動化を利用すれば、繰り返し発生する通常のアラートを処理する機能を使用してアラート疲れを回避し、機密性の高いインシデントや独自のインシデントの処理を人間に任せることができます。

プロセス内のステップをプログラムで自動化すれば、手動プロセスを改善できます。イベントに対する修復パターンを定義したら、そのパターンを実行可能なロジックに分解して、ロジックを実行するコードを記述できます。その後、対応者は、そのコードを実行して問題を修正します。時間の経過とともに、より多くのステップを自動化し、最終的には一般的なインシデントのクラス全体を自動的に処理できるようになります。

ただし、お客様の目的は、検出メカニズムと対応メカニズムとの時間ギャップをさらに短縮することです。過去の経験から、この時間ギャップは数時間、数日、さらには数か月に及ぶことがあります。2016年に SANS が実施したインシデント対応調査では、21% の回答者が検出に 2~7 日を費やしていること、および同じ時間枠内でイベントを修正できたのは回答者の 29% に過ぎなかったことがわかりました。クラウド内では、イベント駆動型の対応機能を構築することで、対応の時間ギャップを数秒に短縮できます。