セキュリティオペレーションの詳細

セキュリティオペレーションの概要

セキュリティオペレーションのアプリケーションスイートを使用して、全体的なセキュリティ体制を改善することで資産を保護できるようになります。たとえば、統合セキュリティエクスポージャー管理 (USEM) セキュリティインシデントレスポンス、脆弱性対応、セキュリティポスチャコントロールなどのアプリケーションを既存のセキュリティツールと統合することで、Security Operation Center (SOC) のアナリスト、マネージャー、IT チームは次のことができます。

急速に進化するサイバー脅威やセキュリティ脅威に対応します。
インフラストラクチャ、アプリケーション、コンテナ、および構成エクスポージャーを 1 つの統一されたエクスペリエンスにまとめた統合セキュリティエクスポージャー管理 (USEM) プラットフォームで、エクスポージャー結果を特定、優先順位付け、および修復します。
完全な資産インベントリを表示します。
セキュリティツールの全体的な範囲を決定します。
インテリジェントなワークフローや ServiceNow の生成 AI スキル (GenAI) を活用して、セキュリティインシデントをより迅速に解決します。詳細については、「セキュリティインシデントレスポンス向け Now Assist」を参照してください。

ワークフロー用のセキュリティオペレーションアプリケーション

セキュリティオペレーションアプリケーションは、セキュリティオペレーションのワークフローにおいて 2 つの大きなカテゴリに分類されます。

統合セキュリティエクスポージャー管理 (USEM) - セキュリティエクスポージャーの予測、理解、クローズに役立つアプリケーションとツール。USEM でのセキュリティオペレーションアプリケーションの使用の詳細については、「統合セキュリティエクスポージャー管理 (USEM)」を参照してください。
エンタープライズセキュリティケース管理：重大なインシデントへの迅速な対応に役立つアプリケーションとツール。

カテゴリ別に整理された Security Operations アプリケーションとワークフロー。 — 図 : 1. セキュリティワークフロー

セキュリティオペレーションアプリケーションのメリット

次世代ユーザーインターフェイス (ワークスペース) でセキュリティオペレーションアプリケーションやデータを表示します。ワークスペースを使用すると、組織のセキュリティアナリスト、セキュリティオペレーションセンター (SOC) のマネージャー、修復スペシャリストが、以下のタイプのワークフローを 1 か所で監視および管理できるようになります。

初期分析から封じ込め、除去、復旧までのセキュリティインシデントのライフサイクル。
どの脆弱性を IT チームに送信して修正するかを戦略的に決定できるように、最も関心のあるセキュリティエクスポージャー。
資産に関するインポート情報を報告および監視するセキュリティツール範囲や資産の健全性に関する重要なインサイトや主要なユースケース。

Security Operations アプリケーションの 2 つのカテゴリとユースケースは、エンタープライズ環境での対処に役立ちます。

USEM アプリケーション:脅威を予測し、セキュリティエクスポージャーを特定するのに役立つアプリケーション。
エンタープライズセキュリティケース管理アプリケーション:重大なセキュリティ侵害やインシデントへの対応に役立つアプリケーション

USEM アプリケーション

表 : 1. 脅威の予測とセキュリティエクスポージャーの特定に役立つアプリケーション
アプリケーション	説明	ユーザー
セキュリティポスチャコントロール	資産インベントリやインポートデータに基づいて、セキュリティツールがどの程度適切に展開され、資産をカバーできるのか考察できるようになります。データのインポートでは、サービスグラフコネクタをはじめ、ハードウェア資産管理 (HAM) や ITOM Discovery などの ServiceNow 製品がサポートされています。ポリシーに基づく監査により、「インターネットへの露出と既知の脆弱性」など、リスクの高い組み合わせの修復に優先順位を置くことができるようになります。カスタムのポリシーやインサイトを作成して、資産が内部セキュリティツールの構成標準に準拠しているか監視します。	CISO 情報セキュリティアナリストセキュリティオペレーションマネージャー IT 運用エンジニアサービスオーナー (修復オーナーペルソナ)
統合セキュリティエクスポージャー管理 (USEM)	セキュリティエクスポージャーの結果と、すべての資産タイプにわたる複数のエクスポージャーの結果を統合して 1 つの統合プラットフォームで表示します。次のアプリケーションからインポートされたデータを使用する、組織の攻撃対象領域全体であらゆる種類のセキュリティエクスポージャーを監視および管理します。脆弱性対応アプリケーション脆弱性管理コンフィグレーションコンプライアンスコンテナ脆弱性対応	脆弱性マネージャーと脆弱性アナリストコンプライアンスマネージャーとアナリスト修復オーナーセキュリティチャンピオンサービスオーナー

エンタープライズセキュリティケース管理のアプリケーション

表 : 2. 重大なセキュリティ侵害やインシデントへの対応に役立つアプリケーション
アプリケーション	説明	ユーザー
セキュリティインシデントレスポンス	修復を迅速化する強力なワークフローと自動化ツールを適用することで、重大なインシデントを特定するプロセスを簡素化します。既存のセキュリティ情報およびイベント管理 (SIEM) ツールをセキュリティインシデントレスポンスアプリケーションおよび Security Operations アプリケーションと統合し、さまざまなソースから脅威データをインポートして、優先順位付けされたセキュリティインシデントを自動的に作成します。	CISO 情報セキュリティアナリストセキュリティオペレーションマネージャー脅威インテリジェンスアナリスト
重大セキュリティインシデント管理	重大セキュリティインシデント管理の機能は、既存のセキュリティインシデントレスポンス製品の機能と連携します。セキュリティアナリストが標準のセキュリティインシデントを重大なセキュリティインシデントへエスカレーションし、新しい製品機能を利用して修復プロセスをサポートできるようにするといったことも含まれます。重大なセキュリティインシデント (MSI) の検出から分析までの進捗状況を追跡します。ソリューションを提案し、セキュリティインシデントを昇格およびリンクさせて、クローズします。	CISO 情報セキュリティアナリストセキュリティオペレーションマネージャー IT 運用エンジニアサービスオーナー (修復オーナーペルソナ) 総協議会
Data Loss Prevention Incident Response	Data Loss Prevention Incident Response (DLP IR) により、エンドポイントやネットワーク、メール、クラウドといった複数のソースから発生した DLP インシデントの修復ワークフローを確認および管理できるようになります。 DLP アプリケーションを使用して、データ損失の経路を特定、対応、および保護できます。	CISO 情報セキュリティアナリストセキュリティオペレーションマネージャー
脅威インテリジェンス	インシデント対応チームは、脅威のルックアップ、検索、相関を自動化できるようになります。MITRE ATT&CK との統合により、検出や緩和の範囲を測定および把握し、脅威ハンティングをサポートできるようになります。	CISO 情報セキュリティアナリストセキュリティオペレーションマネージャー脅威インテリジェンスアナリスト
脅威インテリジェンスセキュリティセンター (TISC)	複数のソースからの脅威インテリジェンスを集約、キュレーション、管理し、脅威インテリジェンスのケース管理を実施します。キャンペーンを追跡し、脅威インテリジェンスを運用化し、実用的なインテリジェンスに対応します。	CISO 情報セキュリティアナリストセキュリティオペレーションマネージャー脅威インテリジェンスアナリスト