(本記事は、こちらのBlogに投稿されたNatasha Guptaによる記事の翻訳です)
私たちの多くは 1 年前、極めて短期間のうちにリモートワーカーになりました。そしてセキュリティと IT のチームには、光の速さでデジタルトランスフォーメーションを実現し、その安全性を確保するように求めましたが、うかつにもサイバー脅威の嵐を招いてしまいました。チームはすでに、複数のツールと限りあるリソースをぎりぎりまで使いまわし、どうにか帳尻を合わせていましたが、さらに負担を強いられることになりました。ESG の最近の調査によると、セキュリティ専門家の 63% が、サイバーセキュリティの分析と運用は 2 年前よりも難しくなっており、その原因は、状況がますます危険になっていることや、分析に必要なセキュリティデータ量が多いこと、そしてトリアージ、優先順位付け、調査、対応に必要なセキュリティアラートと脆弱性が膨大な数に上っていることにあると考えていました。
ServiceNow は Quebec リリースで、このような課題に対処できるように新たに開発を行いました。詳細は、Security Incident Response (SIR) および Vulnerability Response (VR) についての ServiceNow 最新ニュースリリースをご覧ください。
ServiceNow Security Incident Response (SIR)
MITRE ATT&CK:MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) フレームワークは、サイバー攻撃の戦術およびテクニックのナレッジベースです。特定の脅威モデルとメソッドを開発するための基盤として使用されています。新しい SIR 機能は、MITRE ATT&CK フレームワークにインシデントをマッピングし、攻撃についての高度なコンテキストを提供して、攻撃対象領域を全体的に縮小させるために活用できます。
このフレームワークを SecOps のIncident Response と組み合わせることで、セキュリティアナリストは、防御だけでなく次の対抗措置について攻撃者の視点から考えることができ、攻撃者の次の動きを予測することが可能になります。それによって、組織は以下のように MITRE の情報を利用できます。
- TTP のマッピングを活用して、セキュリティインシデントの分析をスピードアップ
- MITRE が収集したテクニックによる検出範囲の把握
- TTP、SIR、および観測事象間の関連付けの活用による、脅威ハンティング機能の改善
MITRE と ServiceNow の機能についての詳細は、ユースケースと技術概要を紹介したこちらの記事をご参照ください。また、MITRE を ServiceNow で実装する場合のデモをご覧いただけるこちらの動画もお勧めします。(SIR Professional または Security Operations Enterprise のライセンスが必要です)
CrowdStrike Sandbox 連携強化による疑わしいURL とファイルの自動提出:セキュリティインシデントの情報を受信すると、判定のために観測事象を Threat Intelligence ソリューションに送信できるようになりました。ですが、もしその観測事象が疑わしいものの、完全に悪意があるとは言い切れない場合、どうしたらいいでしょうか。ServiceNow では新たに Crowdstrike Falcon Sandbox と統合して、セキュリティアナリストが観測事象のファイルと URL をリモートで自動的に実行し、そのセキュリティインシデント内で直接、得られた知見を報告できるようにしました。この自動化により、セキュリティインシデントを解決するまでの時間を短縮することができます。
(SIR Professional または Security Operations Enterprise のライセンスが必要です)
Secureworks によるインシデントの更新と解決により、インシデントクローズを迅速化:Secureworks のインシデント/チケットでの自動インシデント作成と、MSSP による Secureworks からのインシデント取り込み、SIR での処理の自動化が可能になりました。この MSSP の統合により、チケットは Secureworks SOC 1次窓口 (Tier 1) で処理され、エスカレーションされたチケットには SIR 内に対応するインシデントができるようになります。その結果、Secureworks と SIR でシームレスなインシデント管理を確実に行うことができます。
この統合により、以下が可能になります。
- インシデントチケットとイベントフィールドのマッピング
- SIR の作業メモと Secureworks のコメントの同期
- 双方向の連携機能
(SIR Standard のライセンスが必要です)
ServiceNow Vulnerability Response (VR)
Vulnerability Response の新しいTenable 連携機能:脆弱性への対応に注目が集まる中で、Tenable と ServiceNow は Tenable のデータを ServiceNow Vulnerability Response にフィード連携する追加オプションの提供を始めました。この新しいアプリケーション、Vulnerability Response for Tenable は ServiceNow が開発し、サポートしています。ServiceNow のベストプラクティスを活かして構築し、お客様からの複雑な要求に応えるために Tenable が検証しました。このアプリケーションにより両社のお客様は、セキュリティと IT のワークフローを確立し、管理するための新しいオプションを利用できる一方で、リスクベースのアプローチで脆弱性を管理するために必要な知見も得られます。(VR Standard のライセンスが必要です)
アプリケーションの脆弱性に対する実用的な情報の取得:ベライゾン社の『2020 年度データ漏洩/侵害調査報告書』によると、データ侵害に関与することが最も多い資産は Web アプリケーションで、40% を超えているそうです。ServiceNow の新しいアプリケーション、Vulnerability Management の特徴は、DAST (Dynamic App Security Testing) の結果をスキャンして脆弱性のリスク度合いを判定するための、Veracode との連携です。これにより、脆弱性チームはすべてのデータを一元化できるようになり、アプリケーション、コンフィグレーション、インフラストラクチャで露出している脆弱性について、完全に把握することができます。ビジネスリスクに基づいて優先順位付けをするため、対応をより迅速に調整できます。(ServiceNow VR Professional または Enterprise が必要です)
Vulnerability Assignment Recommendations:セキュリティと IT のチームは増え続ける脆弱性に直面していますが、対応する責任を負う人の数が増えることによって複雑さも増しています。ServiceNow の Vulnerability Assignment Recommendations の新機能が、適切な利害関係者を迅速に最適化し、調整することでチームをサポートします。機械学習が資産と脆弱性データをもとに所有者を予測し、脆弱性のあるアイテムごとに最も適切な対応チームを特定します。また、継続的な割り当ての選択から自動学習するため、正確さを向上させるためのトレーニングを数クリックで簡単に実施できます。さらに、体系化されていない脆弱性と資産情報にアクセスして、トリアージと対応プロセスを強化できます。(ServiceNow VR Professional または Enterprise が必要です)
詳細は Quebec Release Notes でご確認ください。Security Operations Community や、セールス担当へのお問い合わせも合わせてご利用ください。
© 2021 ServiceNow, Inc. All rights reserved. ServiceNow, ServiceNow のロゴ、Now、その他の ServiceNow マークは米国および/またはその他の国における ServiceNow, Inc.の商標または登録商標です。その他の会社名と製品名は、関連する各会社の商標である可能性があります。
