（本記事は、こちらのBlogに投稿されたNatasha Guptaによる記事の翻訳です）

Security Orchestration, Automation, and Response（SOAR）は、セキュリティチームがチームの規模拡大と成熟化に取り組む中で、注目度が急上昇しています。最新のリリースでは、クラウドからアプリケーションスタック全体に至るまで、運用をより迅速かつ効果的にするための5つの新しい方法を提供しています。Parisのリリースでは、アプリケーションの脆弱性に関する新しいユースケースを導入し、脆弱性管理に機械学習を導入してインシデント対応のベストプラクティスをプレイブックとして展開することで、既製の予測インテリジェンスを活用したプレイブックにおけるフィッシング対応の自動化をさらに容易にしています。また、Microsoft Azure Sentinelと統合し、クラウドの運用やそこでホストされているセキュリティツールを可視化できるようにしました。

ServiceNow Vulnerability Response（VR）

• アプリケーションの脆弱性への対応をオーケストレーションする
  2020 Verizon Data Breach Investigations Reportでは、Webアプリケーションが侵害に関与する資産のトップであり、その割合は40%を超えていることが示されています。当社の新しいアプリケーション脆弱性管理機能は、Veracodeと統合して、DAST（Dynamic App Security Testing）の結果をスキャンし、脆弱性の危険性を判断します。これにより、脆弱性チームは、すべてのデータを一元化し、アプリケーション、構成、インフラストラクチャ全体の脆弱性の曝露について完全な可視性を得ることができます。(ServiceNow VR ProfessionalまたはEnterpriseが必要です。現在はLimited releaseです – 詳しくは営業担当にお問い合わせください)
• Vulnerability Responseにおける時系列での詳細表示
  Vulnerability Responseでは、設定項目に新たな脆弱性が検出されるたびに脆弱性項目が作成されますが、これまでは、最初に検出された情報のみが表示されていましたが、お客様から、レポートの粒度をさらに細かくしてほしいという要望がありました。今回、改良されたVulnerable Item Detectionsにより、脆弱性管理者は、脆弱性スキャナからインポートされた最も粒度の高いレベルのデータを見ることができるようになりました。例えば、脆弱性が影響を受ける構成項目の複数のポートやプロトコルで発見されたために、スキャナが脆弱性を複数回レポートした場合、その情報は脆弱性項目にインポートされます。このようにデータの粒度が上がることで、より優れた分析が可能になり、よりインテリジェントなレメディエーションが可能になります。

ServiceNow Security Incident Response（SIR）

• Predictive Intelligenceを活用したフィッシングのトリアージと対応の自動化
  COVIDのトピックに添付されたなりすましの悪質な電子メールが急増しており、これは、セキュリティ対応を拡充し、業務の回復力を維持しなければならないというプレッシャーに直面している組織にとって、膨大なバックログを生み出しています。Parisのリリースでは、ユーザーが報告したフィッシングに対してPredictive Intelligenceを活用して、疑わしいフィッシングメールを迅速に特定し、Confidence Scoreに基づいてトリアージとアナリストキューの優先順位付けを自動化できるようになりました。これにより、フィッシングの脅威の正当性を判断するのに役立ちます。また、類似性分析を使用して、ユーザーが報告したフィッシングのインシデントを関連付けて統合することで、アナリストのキューから個別のインシデントを外すことで調査の負荷を軽減します。この事前フィルタリングにより、アナリストは、より短く、整理された優先順位の高いインシデント・キューを見ることができ、重複した調査を避けることができます (ServiceNow SIR ProfessionalまたはEnterpriseが必要です。現在はLimited releaseです – 詳しくは営業担当にお問い合わせください) 。また、アナリストは、オリジナルのフィッシングセッションを素早く表示することができるので、その集計ロジックを理解し、将来の攻撃を予測する方法を理解することができます。
• 重要なユースケースのための実績のあるプレイブックの実装
  セキュリティ アナリストは、セキュリティ インシデントへの対応の過程で、MTTR に影響を与える複数の手動の繰り返し作業に苦慮することがよくあります。この新しいライブラリは、最も一般的で重要なユースケースを自動化するのに役立つゴールドスタンダードの対応手順をパッケージ化したものです。これにより、繰り返し行われる調査にかかるアナリストの時間が解放され、スピードと正確性が向上し、アナリストがより複雑な調査に対応できるようになります。レスポンスの高速化により、潜在的なビジネスへの影響を抑えることができます。
• Microsoft Security製品との双方向統合によるAzureへの可視性とレスポンスを拡充
  クラウドSIEMは従来のSIEM市場を駆逐しつつあり、マイクロソフトのセキュリティツールは対策のあり方を変えようとしています。マイクロソフトのセキュリティインフラストラクチャを導入しているお客様は、ネットワーク全体の可視性、スケーラビリティ、インシデントへの対応における信頼性を高めるために、インシデント管理の一元的なポイントを求めています。お客様が必要とする可視性と効率性を提供するために、Microsoft Graph APIを使用して、Azure Sentinel、Defender ATP、およびAzure Security Centerからのインシデント作成を自動化しました。そして、フィルタリングと集計を行い、統合されたレスポンスを提供します。 資産全体で一元化されたビューを得ることができるので、優先順位をつけて対応することができます。この統合は、ServiceNowプラットフォームを活用してセキュリティとITチームを接続することで、タスクのハンドオフをスムーズにし、解決を迅速化します。また、プロセスとチームのパフォーマンスを向上させるために必要なデータを利用して、セキュリティ態勢とステータスをより深く洞察することができます。(すべてのSIRライセンスで利用可能)

詳細については、ParisのリリースノートおよびSecurity Operations Communityもご覧ください。

© 2020 ServiceNow, Inc. All rights reserved. ServiceNow, the ServiceNow logo, Now, and other ServiceNow marks are trademarks and/or registered trademarks of ServiceNow, Inc. in the United States and/or other countries. Other company names, product names, and logos may be trademarks of the respective companies with which they are associated.