Security Operations の要素の連携の仕組み

図に示されているように、Security Operations は一見パズルのように見えます。しかし、連携する要素の全体像を明らかにすれば、Now Platform の機能と柔軟性は明白になります。各アプリケーションと、それぞれが関係する他のアプリケーションについては、この後のセクションで説明します。

注:

Governance, Risk, and Compliance (GRC) アプリケーションは、Security Operations アプリケーションスイートに含まれていません。ただし、このアプリケーションは Security Operations と統合してデータを共有するため、以下の説明と図に含まれています。

セキュリティインシデントレスポンス アプリケーション

Security Operations エコシステムの中心にあるのは、セキュリティインシデントレスポンス (SIR) アプリケーションです。セキュリティインシデントレスポンス は、修復を迅速化する強力なワークフローと自動化ツールを適用することで、重大なインシデントを特定するプロセスを簡素化します。既存の Security Information and Event Manager (SIEM) ツールを Security Operations アプリケーションと統合し、(API またはメールアラートを使用して) 脅威データをインポートして、優先順位付けされたセキュリティインシデントを自動的に作成します。

Security Operations エコシステム内には、図に示すように、セキュリティインシデントを自動および手動で作成する手段が多数あります。

応答タスクを簡単に表示および追跡できます。セキュリティインシデントレスポンス は、SLA しきい値を使用して、システムの構成に応じて、タスクが時間どおりに完了しない場合、またはタスクが自動的にエスカレートされた場合に、タスクにアサインされたアナリストに通知します。したがって、タスクがスキップされたり、意思決定が無視されたりすることはありません。さらに、アナリストは、電話会議や Connect チャット機能を使用して、Now Platform 内からステークホルダーに情報を先回りして周知できます。

Security Incident Response は、ServiceNow 脅威インテリジェンス アプリケーションと統合すると、承認要求、マルウェアスキャン、脅威データの拡張などの基本的なタスクを自動化できます。この種の自動化により、インシデントへの対応が迅速化され、セキュリティチームは複雑で重大な脅威の探索により多くの時間を費やすことができます。統合セキュリティ製品の Orchestration パックは、Security Operations 内からのファイアウォールブロック要求などの頻繁に繰り返されるアクションを自動化します。Playbook を使用すると、特定のタイプのセキュリティ脅威を順を追って解決できます。たとえば、Playbook を使用して、悪意のあるコードアクティビティによって発生するフィッシング攻撃および脅威を解決できます。

脆弱性対応 アプリケーション

脆弱性対応 アプリケーションは、脆弱性のある資産の優先順位付けを支援し、ビジネスクリティカルなシステムが脅威にさらされているかどうかを判断するのに役立つコンテキストを追加します。CMDB を使用すると、脆弱性対応 はシステム間の依存関係を簡単に特定し、変更やダウンタイムのビジネスへの影響を迅速に評価できます。特定のサービスに影響を与えるすべての脆弱性と、組織に影響を与えるすべての脆弱性の現在のステータスを表示できます。

対応チームは、Now Platform のワークフローと自動化ツールを活用して、脆弱性をより迅速に修正することもできます。重大な脆弱性が見つかった場合、ワークフローは緊急パッチ承認要求を自動的に開始できます。承認されると、オーケストレーションツールはパッチを適用し、追加の脆弱性スキャンをトリガーして、問題が解決されたことを確認できます。

緊急でないパッチの場合は、ボタンをクリックするだけで変更要求を作成し、関連情報を IT に送信できます。これにより、サービスと資産全体にわたって調整された脆弱性修復戦略を確立し、最も重要なアイテムに迅速に対処できます。

注:

詳細については、「アプリケーションの探索脆弱性対応」を参照してください。

脅威インテリジェンス アプリケーション

Security Operations には、Threat Intelligence アプリケーションが含まれています。このアプリケーションは、インシデントレスポンダーがセキュリティ侵害のインジケーター (IoC) を見つけ、低リスクの攻撃や脅威を特定するのに役立ちます。IoC がセキュリティインシデントに接続されている場合、脅威フィードから関連情報を自動的に検索し、さらなる分析のために IoC をサードパーティソースに送信します。結果は、アナリストがレビューできるようにセキュリティインシデントレコードで直接報告されるため、貴重な時間を節約できます。ServiceNow は、複数の脅威フィードや、STIX、TAXII などをサポートしており、さまざまなソースからの脅威情報データを取り込めます。

注:

詳細については、「脅威インテリジェンス の概要」を参照してください。

コンフィグレーションコンプライアンス アプリケーション

不適切に構成されたソフトウェアは、組織に侵害リスクをもたらします。コンフィグレーションコンプライアンス は、サードパーティ製のセキュリティ構成アセスメントスキャンから収集されたデータを使用して、誤って構成された資産を優先順位付けして修正します。CMDB を活用して、最も重要なアイテムを決定します。ワークフローと自動化により、個々の資産またはグループに対して一括変更を迅速に行うことができます。

単一のプラットフォームで IT と簡単に連携して、変更や更新を実施できます。さらに、コンフィグレーションコンプライアンス データを ServiceNow ガバナンス、リスク、コンプライアンス の継続的な監視機能にフィードして、さらにリスクを緩和できます。

注:

詳細については、「コンフィグレーションコンプライアンス の詳細」を参照してください。

ガバナンス、リスク、コンプライアンス アプリケーション

ServiceNow ガバナンス、リスク、コンプライアンス (GRC) アプリケーションは、大規模企業全体の非効率的なプロセスを統合されたリスクプログラムに変換するのに役立ちます。ServiceNow では、継続的な監視と自動化により、コンプライアンスとリスクをリアルタイムで把握でき、意思決定の改善と組織全体やベンダーのパフォーマンスの向上を実現できます。統合されたリスクフレームワークにビジネスやセキュリティ、IT をつなぐことで、サイロ化された非効率的な手作業のプロセスを単一のプラットフォームに構築されたひとつのプログラムに変えることができるのは、ServiceNow だけです。

• リスク管理 – 大規模企業全体で集計されたデータに基づいて、イベントの可能性とビジネスへの影響度を検出して評価し、リスク体制の重大な変化に対応します。
• ポリシーとコンプライアンス管理 – ベストプラクティスのライフサイクルを自動化し、コンプライアンスプロセスを統一し、その有効性を保証します。
• Audit Management – リスクデータとプロファイル情報を使用して監査エンゲージメントを特定し、優先順位付けを行うことで、繰り返し発生する監査結果を排除し、監査の保証を強化し、内部監査に関するリソースを最適化します。
• ベンダーリスク管理 – ビジネスパートナーやベンダーとのリスクアセスメント、デューデリジェンス、リスク対応のライフサイクルを管理するための、標準化された透明なプロセスを確立します。

注:

詳細については、「Governance, Risk, and Compliance」を参照してください。