「ServiceDesk Plus」が実現する効率的なインシデント対応体制とは山のような情報を分類し、重要なインシデントから効率よく対応するために

頭では分かっていても、目の前の業務やインシデント対応に忙殺されていると、ついないがしろになるのが「記録」「報告」「連絡」のタスクだ。しかしその体制がしっかりしていないと、かえって余計な手間と時間がかかることになる。ITサービスマネジメントソフトウェア「ServiceDesk Plus」の活用によって、効率的なインシデントレスポンス体制を実現できるのをご存じだろうか。

» 2017年03月31日 10時00分 公開
[PR/@IT]
PR

複数のツールを使い分けることなく、ITサービス管理とセキュリティインシデント管理を統合

 さまざまなサイバーリスクの高まりを受け、セキュリティインシデントの防御に取り組むだけでなく、「その後の対応」を適切に進めることで、被害の最小化を図ろうという動きが広がっている。こうした「事故前提型の対策」の実現を目指し、組織内CSIRT(Computer Security Incident Response Team)の構築に取り組む企業が増えている。

 しかし、担当者を集めてチームにしただけではCSIRTは正しく機能しない。JPCERTコーディネーションセンター(JPCERT/CC)が公開している「インシデントハンドリングマニュアル」では、アラートを受け取って事象を把握したら、優先度を付け、内外の関係者に連絡し、事象を分析し、対応タスクを割り当ててインシデントを解決する。さらに、根本的な原因が判明したら、対応のためにインフラを変更していく……、という一連のワークフローを定義している。つまり、その中でセキュリティインシデントに関する情報を適切に分類し、共有する仕組みがなければ、仏作って魂入れず、という状況になりかねない。

 その中で注目を集めているのが、ゾーホージャパンのITサービスマネジメントツール「ManageEngine ServiceDesk Plus(ServiceDesk Plus)」だ。

 ServiceDesk Plusは、もともとはITシステムに関するあらゆる問い合わせに対応し、管理するためのITサービスマネジメントソフトウェアだ。ITIL(Information Technology Infrastructure Library)に準拠し、ヘルプデスク対応のための問い合わせ管理や障害管理、変更管理などの機能を追加してきた。そして近年、ITILの管理プロセスを応用し、CSIRTにおけるセキュリティインシデント管理のプラットフォームとしてもServiceDesk Plusが活用され始めている。

 ServiceDesk Plusを構築サービスとともに提供しているネットブレインズ ソリューション事業部 事業部長の矢木眞也氏は、「1つの企業が複数のインシデント管理ツールを使い分けながら運用するのは難しい。ServiceDesk Plusは、1つのシステムでさまざまな種類のインシデントに柔軟に対応できることが大きな特長です。同じツールを使いながら、セキュリティインシデントについてはCSIRTや別のチームが対応できるような一元化した管理体制を構築できます」と、汎用的なツールであることから、さまざまなカテゴリーを適用して導入できるソフトウェアだとServiceDesk Plusを評価している。

自社の業務フローに合わせて柔軟に設定できる「ServiceDesk Plus」

 ServiceDesk Plusでは、Webやメールで寄せられた問い合わせ内容や、サーバやネットワーク機器が生成するログアラートを集約して、カテゴリー別に分類した上で一元的に管理できる機能を持つ。寄せられた1つのアラートを「1インシデント(事象)」とし、このインシデントを解決するための「リクエスト」と呼ばれる単位にまとめられ、緊急度や重要度、業務への影響などを設定した上で担当者を割り当てて、進捗状況を管理していく。エラーが解消され、インシデントが解決できれば、「リクエストクローズ」に至るという流れだ。

photo ServiceDesk Plusでは、Webやメールで寄せられた問い合わせ内容や、サーバやネットワーク機器が生成するログアラートを集約して、カテゴリー別に分類した上で一元的に管理できる機能を持つ

 この管理の流れは、そのままセキュリティイベント管理にも活用できる。具体的には以下のように使われる

  1. ServiceDesk Plus上で「リクエスト」のチケットが発行される
  2. 対応すべき案件かどうかを判定するトリアージを行い、対応すべきと判断されれば優先度などを設定し、ハンドリングする担当者を割り当てる
  3. その後、状況の変化に応じてマネジメント層や外部の専門家とも情報を共有しつつ、対応に当たる
  4. インシデントが収束すれば、そのリクエストをクローズできる
photo ServiceDesk Plusを活用したインシデント発生時における一連のハンドリングフロー

 最近では、さまざまなサーバやネットワーク機器、セキュリティ機器からログを集約して分析する「SIEM(Security Information and Event Management:セキュリティ情報イベント管理)」製品を導入する企業も増えている。いったんSIEMでログを集約し、そこから導き出されたアラートをServiceDesk Plusへ渡し、セキュリティインシデントとして対応していくといった運用も可能だ。分析をSIEMが行い、その後のトリアージをServiceDesk Plusが行うという使い分けだ。

 ServiceDesk Plusの最大の特長は、こういった運用フローを、柔軟に、しかもプログラミングなどの専門知識がなくても組み立てられることだ。設定画面上で幾つかの条件に応じたアクションを組み合わせることで、「どんな種類のセキュリティインシデントが発生」したら、「誰」に「どのような手段で伝えるか」といったルールを定義し、重要なものであれば「エスカレーションする」、といった流れを組み立てることができる。

photo ServiceDesk Plusでは、プログラミングなどの専門知識なしに「フロー」を構築できる

 矢木氏は、「ひとたびセキュリティインシデントが発生したら、トリアージと対処を迅速に行う必要があります。CSIRT構築時にそのルールや流れをどうするか、あらかじめ時間をかけて検討した上で設定しておけます。緊急時の“その場判断”は極めて困難ですが、『こういうアラートが上がったら、おそらくこんな事態が発生しているだろうから、脅威レベルはこう設定しよう』という事柄をじっくり考え、その対応フローをツールに落とし込んでおくことで、実際にインシデントが発生した場合の対応をスムーズに開始できます」と述べている。

 ServiceDesk Plusでは、どのインシデントをどの部署、どのグループに割り当てるか、といったルールも作成可能だ。割り当ての分類は自動化することもできる。「それぞれの担当者が関係するインシデントだけを確認できる、つまり、山のようなアラートの中から担当すべきインシデントを探したり、要不要の判断を担当者自身が行ったりする必要がなくなるので、人的ミスも少なくなります」と矢木氏は説明する。

 とはいえ、いきなりこうしたツール上のルールを作成するのも知識不足などで不安があったり、ただでさえ業務に追われていたりと難しいというケースもあるかもしれない。ServiceDesk Plusの販売パートナーであるネットブレインズでは、こうした体制づくりを支援する構築サービスも提供している。「『御社ではどういう運用フロー、業務フローで対応されますか』といったことからヒアリングし、全ての運用パターンのフローチャートを作ってレビューし、ServiceDesk Plusへ集約できるように落とし込んでいきます」(矢木氏)。プログラミング不要の設定しやすいツールであることからも、こうして1回フローを構築しておけば、運用上の小変更や追加作業はユーザー自身で簡単に行えるという。

ウォッチガードのアプライアンス監視サービスで自らも活用し、効果を実感

 実際、ネットブレインズ自身もServiceDesk Plusを活用してセキュリティインシデントの管理を行っている。それも自社内だけでなく、同社が販売するWatchGuard TechnologiesのUTM(Unified Threat Management)アプライアンス「Fireboxシリーズ」を導入した顧客向けのサポートデスクサービス「RED LIONS」で活用している。

 RED LIONSでは、顧客に導入されたFireboxシリーズ約1600台を対象に管理を行っている。Fireboxからのアラートやウォッチガードの可視化システム「WatchGuard Dimension」から出力された情報をServiceDesk Plusに集約し、内容に応じてインシデントを自動分類。エンジニアの対応が必要な内容であれば適宜アサインを行い、対処に当たる仕組みだ。RED LIONSではウォッチガードの代理店として蓄積してきた専門知識を生かし、アラートの内容を的確に把握した上でServiceDesk Plusでの運用フローに反映しているという。

 「Fireboxシリーズは、ファイアウォールやIPS(Intrusion Protection System:侵入防止システム)、アンチウイルス、標的型攻撃対策など複数の機能を備えています。そこで、アラートの件名や内容、発信元を確認し、どの機能で検知したアラートなのかを分類し、自動的にカテゴリー分けしてから対応する仕組みです。アラートを受信した時点で、その装置で検知するだけでなく、どういった防御が働き、どういったアクションが行われたかまで、最初からCSIRTのメンバーが分かる状態になっています。タスク量や対応時間を大幅に削減できるだけでなく、その分、お客さまのニーズに合わせた、よりきめ細かい、品質のよいサービスを提供できるということになります」(矢木氏)

 ServiceDesk Plusが備える資産管理機能とも連動し、アラートを送ったのがどの顧客のどのネットワークに導入された機器で、バージョンは何かといった情報を簡単に特定できることも、“その後”の対応スピードやサービス品質を高めることに寄与しているという。

 もう1つ、CSIRT運用の負荷が高まってしまう理由に「誤検知/過検知への対応」がある。「ServiceDesk Plusでは、アラートを自動分類できます。例えば年がら年中アラートが出るようなIPスプーフィングについては、記録する程度でエスカレーションはしないように設定できますし、その一方で、深刻な脅威につながる恐れのあるアラートは優先度を高め、きちんとインシデントとして対応するよう確実に通知する、といったように対応できます。その判別の自動化も可能です」と矢木氏は言う。

 メンバーは人間であるがゆえ、頭では「報告」「記録」が大事だと分かっていても、業務に忙殺されるうちについ忘れてしまうこともあり得る。ServiceDesk Plusは、そうした「うっかり」を防止する仕組みも備えている。例えば、セキュリティインシデント発生を知らせるアラートを受信してから30分経っても放置されたままになっていると、「誰かが対応するように」というリマインド通知が自動的にやってくる。これを活用すれば、対応時間のSLA(Service Level Agreement)を設定した運用を行いつつも、CSIRTの効果を図る尺度の1つとしても利用できるだろう。

photo SLAに基づいたエスカレーション/解決時間を設定できる

 「RED LIONSも、以前はグループウェアを用いてサービスを運用していました。しかし、どうしても対応漏れや放置が生じ、クレームとなることがありました。また、連絡を頂いても、お客さまがどのような状況にあり、過去どのような対応履歴があったかを、一から聞き直さなければ分かりませんでした。ServiceDesk Plusならば、何よりそうした事態になるのを防げます。IDさえ分かれば対応オペレーターの誰であっても対応状況が分かるようになっています」(矢木氏)

 登録したセキュリティインシデントのその後の対応状況も把握できる。インシデントの対応者が誰で、調査中なのか、外部に確認中なのか、対応作業の依頼中なのかといったステータスが一目で分かる他、詳細表示画面では、メールをやりとりした履歴も確認できる。エスカレーションが必要になれば、同じ画面の中から転送や応答などの対応が可能である。

photo 誰がいつどのように対応したか、メールをやりとりした履歴なども確認できる

 矢木氏によると、RED LIONSのように、セキュリティインシデントとその対応状況を共有し、社内CSIRTの運用を手助けするツールとして活用するためにServiceDesk Plusを採用するケースが、ここ2年ほどで急増しているという。同様に、セキュリティを専門とする企業が、マネージドサービスやSOC(Security Operation Center)サービスの基盤として活用するケースもあるそうだ。「発報されたアラートを受け、インシデントに対応するためポリシー変更を提案し、誰が承認して変更を反映したか、全て記録に残しながら対応できる」──このことが今後の企業に必要であることを示す、理解しやすいエピソードといえるだろう。

サイバー攻撃に限らず、さまざまなインシデントに強い組織に

 「インシデントの管理という意味では、小売店ならば各店舗に導入したPOSレジの障害も、ノロウイルスの発生も、ランサムウェアも、企業にとっては全てインシデントです。そうしたインシデントの報告が上がってきたら、共有し、対応していくという流れ自体は同じ。対応する部署が違うだけです。ヘルプデスクが受け付けた報告内容を自動的に分類し、適切な部署に受け渡し、インシデントに関する情報を適切に共有しながら対応を進めていけるようにする“体制”を早期に整えることが重要です」(矢木氏)

 世界経済フォーラムの『グローバル・リスク報告書2017』によると、世界の企業の経営者が考えるリスクの上位には、気候変動やテロと並んで、サイバー攻撃が上がるようになった。セキュリティ対策は、それだけ「経営そのもの」にインパクトがある項目である。変化の激しい時代において、サイバー攻撃をはじめとするさまざまな「問題」への本質的な対応を考えるならば、こうした情報共有プラットフォームは重要な役割を果たすことだろう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ゾーホージャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年3月4日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。