日本ハッカー協会の杉浦氏が明かす「早く帰れる」セキュリティ運用自動化の始め方――生成AIにも頼れる、自動化の勘所とは：ITmedia Security Week 2024 夏

2024年9月2日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 夏」における「セキュリティ運用自動化」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「セキュリティ運用自動化をなぜ始めるべきか」と題して講演した。

[宮田健，＠IT]

　昨今のランサムウェアの脅威や複雑化するサイバー攻撃は、既に人の手では対応し切れないものになっている。セキュリティ担当者はサポートやシステム更新など日々の業務をいかに自動化すればいいのか。現役ハッカーである杉浦氏の視点で、その方法を解説した講演の内容を要約する。

自動アップデートを“起点”として考える

日本ハッカー協会 代表理事 杉浦隆幸氏

　運用の自動化について、杉浦氏はまず各種OS、機器に用意された「自動アップデート」機能を考える。

　アタックサーフェス管理（ASM）の考え方では、インターネットから見える機器、そしてメンテナンスなど外部から露出している部分は攻撃対象となる。誰でも見られる場所にVPN機器を設置しなくてはならず、そこが今、侵入経路として狙われている。

　杉浦氏は、インターネット上に存在する機器を、ポート番号やバージョンなどを絞って検索できる（すなわち攻撃対象を調べられる）検索エンジン「SHODAN」で、著名なネットワーク機器が2万台以上検索できる状況を紹介。「ここに脆弱（ぜいじゃく）性があれば、それを悪用されて侵入される可能性がある。現状としては、放置されて侵入されているような機器もたくさんある」と指摘する。

　これは対岸の火事ではない。「もはや深刻な脆弱性が発見、公表された後、攻撃の到達までは2〜48時間程度しか猶予がない」と杉浦氏。対策するには、脆弱性の情報が公開されてから攻撃開始されるまでのタイムラインを把握する必要がある。杉浦氏はタイムラインを図示し、対応のための時間軸を整理する。

対応のためのタイムライン（杉浦氏の講演資料から引用）

　多くの場合、攻撃開始の数日前ほどに修正のパッチが公開される。その際、詳細な情報はあえて発表されないこともある。アップデートをITベンダーに依頼する企業もあり、ITベンダーによる検証の後、既存の機能に影響がないことを確認してからのアップデートとなる。かなりの時間を要するので、その前に攻撃されてしまう可能性が高い。

　オランダの政府機関における事例では、パッチが適用される前に1万4000台の侵入を許してしまっていた。パッチ適用前は侵入され放題な上に、この事例ではバックドアがすぐに仕掛けられたので、後にパッチを適用してもバックドアから侵入が継続されてしまった。アップデートにおける検証を優先するか、安全性を重視するかは悩ましい状況だ。

それでも高リスク機器には「自動アップデートを」

　インターネットからアクセス可能な機器、サービスは、脆弱性がたった1つあるだけで攻略されてしまう。最近ではテレワークの必要性から設置されたVPN機器や、リモートデスクトップサービス、SSHなどがそれに当たる。加えて、企業が公開しているCMSのプラグイン、メールなどもそれに当たるだろう。これらを「高リスク機器・サービス」として、対策を考える。

高リスク機器・サービスを考える（杉浦氏の講演資料から引用）

　高リスク機器に対しては、セキュリティ運用体制もそれに合わせたものが必要だ。そこではやはり、「自動アップデート」の設定が望ましい。自動アップデートを設定している場合は、パッチの公開後、数時間から数日かけて自動でアップデートされる。これには、それなりの体制が必要であり、当然コストもかかる。加えて、自動アップデートが安定性に問題があることも想定しなければならない。

　2024年8月にはCrowdStrike製品における自動アップデートで、約850万台の機器が影響を受けた事故も発生している（参考）。「これは分かりやすい止まり方だったが、見えにくい原因でうまく動かないケースもあり得る。『どこまでメーカーを信用するか』が問われることになる」（杉浦氏）

　加えて、アップデート後も実は問題が完全に解決していない場合も多く、アップデートを数回繰り返すこともある。高リスク機器・サービスにおいてはそういった対策が不十分なケースを含め、対応できる体制を取らねばならない。

高リスク機器・サービスには体制を整えて臨む（杉浦氏の講演資料から引用）

　これらの機器の運用コストを考えるとITベンダーとしては「導入したら終わり」としておきたいところだろう。それには自動アップデートの機能が必須だ。利用者からすれば、自動アップデートはITベンダーに全てを任せることに等しい。その判断と覚悟が必須の時代といえる。

セキュリティ運用を自動化する手法

　昨今はデジタル化やDX（デジタルトランスフォーメーション）が注目され、それに伴い、業務を効率化するのに自動化が求められるシーンが増えている。セキュリティ運用においても、自動化がどこまでできるかが問われている。特に効率を上げなければならない部分における自動化についてはどう考えればよいのだろうか。

　「セキュリティ運用を自動化する第一歩として、業務の洗い出し、優先順位の設定が必要だ」（杉浦氏）

　日常的な業務をリストアップし、手動で行われている部分、繰り返し行われている部分、時間のかかっている部分を洗い出す。自動化のために必要な時間も見積もり、「手動作業時間×回数＞自動実行時間×回数＋自動化にかかる時間」という算式で、自動化すべき部分を洗い出す。

自動化の優先順位を付けるため、算式で効率をチェックする（杉浦氏の講演資料から引用）

　課題は各プロセスにおける標準化だ。特別な作業が必要だったり、例外があったりすると自動化は難しい。しかし、そこを乗り越えられれば「専門性の高い人でなくても作業ができるようになる。特に回数が多い部分は標準化して自動化を目指すことで、エラーの発生も減少できる」と杉浦氏は指摘する。加えて「エラーハンドリングが大変なので、一度に全てを自動化しようとしない。頻発する業務から、段階的に導入し、ある程度処理ができたらいったん完成とし、モニタリングを継続し改善していこう」と、お薦めの方法を解説する。

　「自動化は運用のカイゼンであり、ムリ、ムダ、ムラをなくすもの。フローをコード化し、自動化すれば、セキュリティ人材がいなくてもある程度運用を回すことができる」（杉浦氏）

自動化のためのフロー（杉浦氏の講演資料から引用）

よくあるインシデント対応を「自動化」する

　セキュリティ運用にはインシデント対応もある。インシデント対応においては、どの部分が自動化できるのだろうか。

　杉浦氏は、セキュリティ担当者の対応が必要となる企業・組織における“よくある”インシデントをまずはピックアップする。例えば、従業員がWebブラウザに表示される偽広告をクリックしたり、いわゆる「サポート詐欺」でブラウザが全画面表示となったり、フィッシングメールを受け取ったり、パスワードを忘れて再発行を依頼したりなどがある。

よくあるインシデント（杉浦氏の講演資料から引用）

　こういったインシデントの対応では、従業員からの問い合わせが発生した後、それが一体どのようなインシデントなのかを判定する作業があり、その対応方法を判定し、利用者に伝達する。このようにかみ砕くことが「標準化」だ。ただし、標準化できたからといって、自動化できるとは限らないことがある点にも気を付けないといけない。

ブラウザプッシュ広告に引っ掛かったときの対応を標準化する（杉浦氏の講演資料から引用）

　セキュリティ担当者による管理がある程度行き渡っている場合のインシデントは、もう少し細かい対応が可能だ。例えば異常なログイン回数を記録したり、大量のデータをダウンロードした形跡を見つけたり、勤務時間外のアクセスなどのイベントが上がってきたりなどを想定する。この場合、イベントをきっかけにアカウントのロックやアラートを上げるといった処理が考えられる。「そのようなものは、ツールの設定だけで運用が自動化できる。こういうものこそ、標準化し、自動化することができる」と杉浦氏は指摘する。

　これらの運用を自動化するのは、その運用を「コード化」することに他ならない。例として運用自動化ツール「Ansible」のコードを紹介した杉浦氏は「コードを書いたり、設定したりすることで自動化すれば、ミスのない大量の処理が可能だ。ひとつひとつのシステムにそれぞれログインして、一個一個を目で見て確認するような作業から開放される」とアドバイスする。

運用を“コード化”する（杉浦氏の講演資料から引用）

　ツールとしては、Ansibleの他にもMicrosoftの「Power Automate」「PowerShell」、さらには生成AIを活用する手法などを杉浦氏は挙げる。特に昨今の生成AIツールは幾つかの質問と回答を繰り返すことで、Pythonのコードを生成できるようになっており、「生成された内容をきれいに整形し、それをうまく使って自動化するのがよい」（杉浦氏）

チャットで生成AIと会話しつつ、自動化に使えるコードの素案を出力させる（杉浦氏の講演資料から引用）

　運用を自動化した後は、運用者が行うのはその確認だけにする仕組みが重要で、「Slack」といったチャットツールやメールなどによって出力結果を送信し、運用者の判断を元にさらに自動化したプロセスを実行する形式が望ましい。

　このような自動化の仕組みは、杉浦氏によると「思った以上に簡単にできる」という。ともすると、「仕組みを作った本人にしかメンテナンスできない」ような、手離れの良くないものと見なされるが、杉浦氏は異論を唱え、自動化が組織を変える力を持つ可能性に触れる。

　「40時間ほど勉強すれば作り方を学ぶことができる。特にデジタル化やDX推進における本質は『シリコンバレー企業がやっていることをできるようになること』だ。DXを推進したいなら、少しだけ勉強し、自分でできるようにする。そうすれば、自動化もかなり幅が広がり、知見が得られることで時間も節約できる」

セキュリティ自動化の大本命、SOAR

　最後に杉浦氏は、セキュリティ運用を自動化する技術として、SOAR（Security Orchestration, Automation and Response）にも触れる。

　SOARは、各種機器からログデータを収集、解析するSIEM（Security Information and Event Management）から得られた分析結果を基に、「Playbook」という設定コードを定義し、それを実行することで処理を自動化する。処理とは、具体的には、スイッチなどで検知された異常を元に「侵入された」と判断した場合に「スイッチを停止する」「隔離する」「その先のIPアドレスを止める」といったことだ。

　「これらのツールはSaaSとして提供され、わりと簡単に使える。セキュリティ製品は『買ってから試してみる』ことが多いと思うが、SaaSならば『まずやってみて、使えるなら続ける』こともできる。まずは試すことが重要だ」（杉浦氏）

　最近はEDR（Endpoint Detection and Response）でも同様に自動隔離できる機能が備わっている。杉浦氏はSOARとの違いを次のようにまとめる。「EDRは端末での挙動を元に隔離するのでリアルタイムに対応できるが、端末に閉じた処理となる。SOARはSIEMの結果を基に自動化されるので、早いものであればほぼリアルタイムだが、自動隔離などの処理が実行されるまでにはタイムラグが発生する。一方で、ルーターやスイッチ、クラウド上のサービスなど、EDRでは対象にできない機器に対しても統合管理できる。それぞれのメリットから設定すべき処理を判断した方がいいだろう」

EDRとSOARの違い（杉浦氏の講演資料から引用）

　杉浦氏は次のように講演を締めくくった。「皆さんの業務をまず見直さなければ自動化は進まない。まずはそこから。自動化で業務効率、そして皆さん自身の価値を高めて、早く帰れるように仕事をしよう」