この記事を評価した人

CSIRTやSOCの業務として、従業員に対して送られてきた不審なメールが、本当に問題があるメールなのかを調査し判断することをしています。判断が容易である場合も多いですが、他の業務もある中で件数が多くなってくると負担になってしまいます。ここでは、一般的に行う不審メール処理のフローとCortex XSOARにより効率化されたフローを比較した結果を記載します。

◆ 一般的によく行われている不審メール処理フロー

通常、不審なメールを受け取ったユーザーは、CSIRTやSOCの担当者に対して報告を行います。

報告を受けたCSIRT、SOCの担当者は、不審メールのメールヘッダ、本文から以下の情報を抽出して調査を行います。

報告された不審メールに脅威があると判定した場合には、報告者にメールを削除することを連絡し、必要に応じて組織内に注意喚起を行います。

一連の調査を行う場合、1通の不審メールの処理には平均的には30分程度の時間がかかると考えられます。

1日に2件の対応を行なったと仮定すると、1ヶ月（20営業日）で、20時間もの時間を費やすことになります。

◆ Cortex XSOARを活用した不審メール調査フローの効率化

Cortex XSOARを活用することで、調査作業を自動化、CSIRT / SOC担当者の対応時間を大幅に削減することで、より効率的に不審メール処理を行うことが可能となります。こちらは、不審メール処理フローをCortex XSOARで実装した場合の対応フローイメージ図になります。

プレイブックのフローイメージ Cortex XSOARのプレイブック

プレイブックの中で、申請者に通知を行う前に内容を人で確認して最終判断を行うプロセスを入れることも可能です。その場合には、申請されてきたメールの内容や自動化された処理によって収集された情報を、担当者がひと目で確認できる画面を用意することで、情報を確認する負担を軽減することが可能です。情報が集められている画面を確認するだけであれば、1通あたり5分程度で処理できます。同じ条件（1日 2通、20営業日）で考えると、1ヶ月に3時間程度に抑えることができます。

送られたメールの情報を確認する画面の例

レピュテーション情報確認画面の例

◆ まとめ

Cortex XSOARを使うことで、1ヶ月に20時間を費やして対応していた不審メール処理を、0分〜3時間程度に抑えられます。これにより、CSIRTやSOC担当者の負荷を低減し、より重要な業務へ時間を振り向けることができます。