アラート疲労とそれがSOC効率に与える影響は、自明の問題です。一方、その原因・影響・解決策は複雑で、簡単には見えてきません。
SOCアナリストは、セキュリティツールが生成する膨大かつ絶え間ないアラートの波にさらされています。個々のアラートは、他のアラートと相関付けなければ多くの場合無意味です。しかし相関を見つける作業には時間がかかり、見つかったとしても業務上のセキュリティとは無関係なケースも少なくありません。アラートの大部分は単なるノイズであり、大量の誤検知(ノイズ)の中から真陽性(シグナル)を見つけようと相関付けを試みる作業は、難しく、退屈で、しばしば徒労に終わります。
その原因は多岐にわたります。
自動優先順位付けの欠如。セキュリティツールはアラートシグナルの検出には優れていますが、優先順位付けは苦手です。アラートにスコアが付与されることがありますが、「あるツールが『脅威を検出しました。スコアは100点中32点です』と報告してきたとします」とLanxitの創業者兼CEOであるObbe Knoop氏は述べます。「それが何を意味するのでしょうか?100点満点とは一体何を意味するのか?なぜ32点なのか?文脈がなければ無意味です。」
アラートコンテキストの欠如。アラートには文脈情報が乏しく、ほぼ皆無なことさえあります。あるアラートが脆弱性の存在を示唆し、緊急性が高いように見えることがあります。しかし完全な文脈を踏まえれば、その場所に設置されたそのデバイスには外部への接続性がなく、業務継続性との関連もゼロだと分かることがあります。その場合は記録にとどめ、より真に緊急なアラートの後ろに並べれば済みます。重要性を正しく判断するためには、正確で完全な文脈情報が不可欠です。
SentinelOneのCTOであるJeff Reed氏はこう総括しています。「アラート疲労の本質は、アラートの量ではなく、アラートの関連性にあります。」
犯罪者によるAIの活用により、攻撃のペース・巧妙さ・隠密性は増す一方です。「攻撃者はAIを使って活動を拡大しています。窃取したデータの分析を高速化し、より巧妙なフィッシングキャンペーンを生成し、侵入プロセスの一部を自動化しています」とReed氏は付け加えます。その結果、アラートの量は増え続けています。
防御側のAI活用は同時に、悪意ある行為者が狙える攻撃対象領域を拡大しています。「AIシステム自体も攻撃対象になりつつあり、モデル操作・データ漏洩・悪用に関する新たなリスクをもたらし、さらに多くのアラートを生んでいます」とReed氏は説明します。
「要するに」と同氏は続けます。「現代の環境が生み出すシグナルのペースに、人間のアナリストがトリアージと調査で対応し続けることは不可能です。」
これには2つの影響があります。まず、プレッシャーが絶え間なく続き、ストレスレベルが常に高い状態に置かれます。次に、転職以外に逃げ道がない一方で、住宅ローンや家族の事情からそれも難しいというアナリストも少なくありません。これはバーンアウトの温床となります。
端的に言えば、現代のSOCアナリストはアラート疲労(業務に影響)とバーンアウト(業務と健康の両方に影響)の双方に直面する危険があり、組織のセキュリティも低下するという悪循環に陥っています。
影響
バーンアウトは病気ではありません。治療できるものではなく、予防または軽減するしかありません。解決策の一つは確かに転職ですが、その場合、企業は高度に専門化したスキルを持つ人材を失います。バーンアウトは、軽減するよりも予防する方がはるかに容易であり、予防によってアラート疲労の軽減という付随的なメリットも得られます。
アラート疲労は、散発的な長時間労働やストレスによって引き起こされるものではありません。逃げ場のない継続的な長時間労働と継続的なストレスが原因です。予防されなければ、アナリストへの影響は少数の見落とし(偽陰性)から始まり、やがて組織全体のセキュリティ侵害へと発展しかねません。
アナリストの視点からは、無意識のうちに過度に積極的なフィルタリングが行われるようになることから始まります。これは単に新しいアラートの量に追いつくためのものです。そのフィルタリングの過程で、多くのアラートが誤検知だと見なされてしまいます。大部分はその通りかもしれませんが、そうでないものも含まれており、真陽性のシグナルがノイズとして除外されることがあります。
解決策はアナリスト個人の反応ではなく、組織的な対応でなければなりません。新規アラートの量に追いつけなければ、生成されるノイズは増え続け、アラート疲労の原因と影響の両方が悪化するだけです。
アラート疲労は、効果的なセキュリティ防御を見えない脅威へと変貌させることがあります。封じ込めの遅延、滞留時間の増加、そして被害範囲の拡大につながりかねません。
解決策
アラート疲労を防ぐための明らかなアプローチは2つあります。シグナル対ノイズ比を改善するための正式なフィルタリングによってアラート数を減らすか、AIを活用した自動化によってトリアージの速度と効率を向上させるかです。前者の問題は、ノイズと一緒に真陽性まで捨ててしまう可能性があること、後者の問題は、AIがまだ完全に信頼できるものではないことです。
IDF 8200サイバーユニットの元大佐で現在MitigaのCo-founderかつCOOを務めるAriel Parnes氏は、アラート疲労の解決策はアラートを減らすことではなく、むしろ増やしつつも関連するアラートをより明確に浮かび上がらせてアナリストに提示することにあると考えています。
目標は、すべてのアクション・ログ・シグナルを統一された攻撃シーケンスとして再構築することです。そうすることでアナリストは個々のイベントをトリアージするのではなく、攻撃者の行動を解読した完全なストーリーとして読むことができます。
「AI-nativeな自動化」と同氏は提案します。「アラートの洪水を明確な優先事項に変換できます。トリアージを自動化し、調査を加速することで、SOCが対応を追いかけるのではなく、主導できるようになります。」
Arctic WolfのVP of Threat IntelligenceであるIsmael Valenzuela氏も、SOCアナリストが継続的かつ反復的なアラートトリアージではなく脅威調査により多くの時間を割けるよう、自動化を活用するという原則に同意しています。
「組織は、自動化・相関付け・継続的なモニタリングを組み合わせて、ノイズを削減し、優先順位付けを改善し、アナリストがその両面に取り組む余地を生み出す、より運用化されたモデルへと移行しています。」
Reed氏も同意見です。「ログ分析・エンリッチメント・初期段階の調査といった反復的なタスクは自動的に処理でき、アナリストは攻撃者の行動を理解し戦略的な意思決定に集中できます。大量のデータ処理を機械が担うことで」と同氏は付け加えます。「セキュリティチームは、効果的に対応するために必要な明確さと時間を得られます。」
同氏の解決策は、自動化を実現するために人工知能を活用することです。「AIは大量のテレメトリーデータを分析し、複数の環境にまたがるシグナルを相関付け、実際のリスクを表す少数のイベントを特定するために不可欠になっています。AIは何千もの断片的なアラートをアナリストに提示するのではなく、関連するアクティビティをグループ化し、コンテキストを追加し、予想される影響に基づいてインシデントに優先順位を付けることができます。」
PresidioのField CISOであるMichael Brown氏はこう加えます。「アナリストは生のアラートではなく、相関付けられたインシデントだけを扱うべきです。これにより、調査と対応がはるかに迅速になり、スタッフのバーンアウトと離職を減らすことができます。」
問題は「どのように実現するか」です。すべてのAIシステムが同等に優れているわけではありません。AIは知っていることしか知りません。学習していないことは知らないのですが、それでも誤った回答を作り出してしまうことがあります。
CybanetixのCTOであるMerlin Gillespie氏は一つのアプローチを提案しています。既知のIoC(侵害の指標)を主要な侵害の指標として使うことは、もはや十分ではないと同氏は指摘します。「ここ数年、攻撃はより巧妙になっています。脅威アクターは今や窃取した認証情報を使ってアクセスを獲得し、『環境寄生型(Living off the Land)』テクニックを使って持続性を維持するため、検出が格段に難しくなっています。」
したがって、Parnes氏と同じく、「こうした小さなサインを捕捉してつなぎ合わせるには、アラートを減らすのではなく増やす必要があります。より多くのアラートを収集し、疑念を持って臨む姿勢を取ることで攻撃を早期に発見できますが、アラート疲労とアナリストのバーンアウトが増加するリスクも当然あります。だからこそ、テクノロジーに重い作業を担わせる必要があります。」
同氏が推奨するテクノロジーは、機械学習(ML)と大規模言語モデル(LLM)の組み合わせです。「これらを組み合わせることで、アラートのトリアージと調査の90%を自動化できます。MLは膨大なデータセットを分析してパターン・異常・潜在的な侵害を特定できます。時間が経つにつれ、MLは攻撃を予測して検出を改善するための推論さえできるようになります」と同氏は述べます。
「一方LLMは、アラートや調査結果を説明し、ケースの要約を提供することで、調査を加速させ、分かりやすいアウトプットを生成できます。」
ただし、AIにはまだ問題があると同氏は警告します。「主観的な性質から、ばらつきが生じやすいのです。最近の実験では、あるエージェントが脅威を誤って解釈しただけでなく、架空のキルチェーンを生成しました。これはAIがまだ必要な成熟度に達していないことを示しています。」
鍵となるのはコンテキスト(文脈)のようです。正確な相関付けと優先順位付けのためにアラートのコンテキストが必要であることは誰もが認めていますが、何が必要なコンテキストを構成し、それをどう提供するかについての定義はほとんどありません。
Valenzuela氏はこれを正常からの逸脱と結びつけています。「効果的なノイズ削減には……どの資産が真にリスクにさらされているかを理解し、その特定の環境において正常と異常がどのようなものかを確立することが必要です」と同氏は説明します。
「そのコンテキストなしにツールを追加するだけでは、複雑さとアラートの量が増えるばかりで成果は改善されず、多くの人が言う『シグナルなき全ノイズ』問題を生み出すだけです。」
優先すべきは、と同氏は続けます。「静的なルールに頼るのではなく、アラートにコンテキストを付加してシグナルの品質を改善し、変化する環境を反映するように検出ロジックを継続的に適応させることです。」
e2e-assureのCEOであるRob Demain氏は、AIがルーティンな分析レイヤーを取り除いた後、アナリストがコンテキストを理解できるようになると提案しています。「AIはアナリストの一日の多くを消費している反復的な作業のレイヤーを取り除きます。その結果、より迅速で一貫した初動対応時間が実現し、チームのエネルギーが最も重要なことに向けられます。すなわち、コンテキストの理解・脅威インテリジェンスの精緻化・自動化システムには代替できない微妙な判断の実行です。」
Gillespie氏は、MLと生成AIを組み合わせたデュアルソリューションのLLM部分によってコンテキストが浮かび上がると考えています。Reed氏も同意します。「AIは関連するアクティビティをグループ化し、コンテキストを追加し、予想される影響に基づいてインシデントに優先順位を付けることができます。」
DarktaceのGlobal Head of Threat AnalysisであるToby Lewis氏も賛同しています。同氏はノイズからコンテキストを抽出することが人力では困難であることを認めつつ、「大量の人手をかけずにこれらのフィードを統合できるテクノロジースタックを構築することはほぼ不可能に思えますが、AIはそれをはるかに現実的なものにしています。リアルタイムにデータを統合・相関・分析する能力が、その一枚の統一された絵を作り出します」と述べています。
Brown氏はより完全な説明を提供しています。「成熟したSOCは生のアラートデータを自動的にエンリッチするため、アナリストはコンテキストが既に整理された状態で調査を開始できます。このエンリッチメントには、資産インベントリデータ・資産の重要度・ID権限・デバイスの所有者と物理的な場所・過去の行動分析・ネットワークトラフィックのコンテキストなど、さらに多くの情報が含まれる場合があります。」
同氏はこう説明します。「相関付けとコンテキスト化こそが、アナリストが個々のアラートではなく攻撃チェーンを見られるようにするものです。異なるソース(エンドポイント・クラウドログ・IAMシステム・ネットワークデバイスのテレメトリーなど)からのシグナルがリンクされ、インシデントのナラティブが生成され、アナリストがより迅速に全体像を把握できるようになります。」
完全なコンテキストは、ノイズの中から真陽性のアラートを見つけるのに役立ちます。即座に対処すべきものと、後回しにできるものを明確にすることができます。
Knoop氏はこのコンテキストの重要性を次のように説明しています。「あるマシンの脆弱性を示すアラートを受け取ったとします。脆弱性のスコアは100点中100点で非常に緊急性が高く、即時対応が必要です。アナリストはパニックに陥ります。」
しかしKnoop氏は続けます。「完全なコンテキストを見てみると、そのマシンはどこかのラボにあり、業務情報には接続されていないことが分かるかもしれません。そのため、何かが起きたとしても、ビジネスへの収益的・運用的影響はゼロかもしれません。しかし現在のツールセットはコンテキストや他の出来事を横断して推論することができません。」
人工知能は強力な新しいツールである一方、危険なツールにもなり得ます。AIは知っていることしか知りません。正しい答えを知らない場合、空白を埋めようとして不正確な答えを幻覚(ハルシネーション)として作り出すことがあります。過重労働でストレスを抱えたSOCアナリストというAIのユーザーは、そのハルシネーションに気づけない可能性があります。
「AIはアラートのふるい分けに使われています」とKnoop氏は警告します。「また、対応の自動化にも別途使われています。しかしいずれも完全なコンテキストなしに行われており、コンテキストが不完全であれば、誤った判断から誤ったアクションが生まれることがあります。」
同氏の見解では、コンテキストはアラートを理解して正しく対応するために不可欠ですが、現在のコンテキストへのアプローチは一般的に限定的すぎます。アラートが重要かどうか、それとも単なるノイズかを完全に把握するには、ビジネス全体を知ることでコンテキストを構築する必要があります。同氏はコンテキストを新しいレベル、あるいは自身の言葉を借りれば「新しいレイヤー」へと引き上げる必要があると考えており、それを「推論レイヤー」と呼んでいます。同氏は過去5年間、Lanxitにおいてそのような推論レイヤーを開発してきました。これは「セキュリティ意思決定インテリジェンス(SDI)」という新興概念に大まかに分類されます。
この推論レイヤーはビジネス全体を理解しなければなりません。機器については、会社のCMDB(構成管理データベース)を使用します。単に各デバイスを知るだけでなく、そのデバイスが処理する情報・接続されている他のデバイス・そのデバイスに影響するインシデントの潜在的な被害範囲を把握しています。
この新しい推論レイヤーは、会社のビジネスセクターも理解しています。攻撃者が何を求めているかを理解し、脅威インテリジェンスを通じてそのセクターを狙っている現在の脅威を把握しています。会社に関するあらゆることを理解する可能性を持っており、例えばどの部門が人員不足かもしれないか、現在のセキュリティシステムには見えていない潜在的な攻撃領域まで把握できます。
「これは現在利用可能なすべてのシグナルの間でコンテキストに基づいて推論できるシステムです。現在のすべてのセキュリティソリューションの上に位置する、セキュリティの新しいレイヤーです。それらのセキュリティソリューション、つまりシグナルからインプットを受け取り、それらの間で推論を行います」とKnoop氏は説明します。
「非常にシンプルに言えば、セキュリティツールによってアラートが生成されます。推論レイヤーはそのアラートを受け取り、『これはこのマシンに関するアラートです』と認識します。CMDBや顧客の資産データベースからそのマシンに関する情報を取得し、デバイス情報と比較し、次にビジネスコンテキストと比較します。顧客はどの業界にいるのか?金融業界か?自動車メーカーか?化学品メーカーか?では、世界でどのような脅威が確認されているか?」
アラートとデバイス・ビジネスの完全なコンテキストに関するすべての情報を持った推論レイヤーは、あらゆる情報を横断して推論し、アナリストに自然言語で回答を提供します。単にスコアを与えるのではなく、取るべきアクションを提案します。
「『あなたの環境内のこれは脅威です』と応答するかもしれません」とKnoop氏は続けます。「『このデバイスは他のものへのアクセス権を持っていません。監視し、次のサイクルでパッチを当ててください。』または『これは脅威です。今すぐ対応すべきです。なぜならビジネスに財務的な影響を与えるからです。』と応答するかもしれません。」
ノイズの中からシグナルを見つけ、取るべきアクションを特定するKnoop氏の推論レイヤーは現在開発中です。現在、様々なサイトでベータテスト中です。しかし同アプローチが示すのは、従来のアプローチに漸進的な追加を施すのではなく、コンテキストとアドバイスに焦点を当てた全く新しいアプローチによってアラート分析に新しい道を開く可能性です。
将来どのような方向に進むにせよ、絶え間なく増大するアラート疲労の問題を解決する必要性は、より一層高まるばかりです。
翻訳元: https://www.securityweek.com/alert-fatigue-is-becoming-a-security-threat-of-its-own/
