今日、多くの企業がサイバーセキュリティに大きな予算を割いています。ですが、支出に見合った成果をあげるには、それ相応の包括的セキュリティ戦略が欠かせません。そのための最新アプローチとはどのようなものでしょうか。それは「効果的なSOC(セキュリティ オペレーション センター)を構築すること」です。
通常、組織におけるSOCの位置づけは「サイバーセキュリティ業務で中核的な役割を果たすコマンドセンター」でしょう。そこではセキュリティ アナリストがチームを組み、組織の安全を守るのに必要な手順をまとめた運用プレイブックに従って業務を行っています。ここでの業務には、高度な検出ツールを使って、サイバー攻撃を識別、記録、撃退することが含まれます。
大企業、とくに個人識別情報(PII)を含む機密データを扱う企業では、SOCを効果的に運用できているところが増えてきています。その代表的業種は金融や小売ですが、政府と取引のある企業、DX・ビッグデータ活用を進めている組織などにも、SOCの運用に成功しているところがたくさんあります。
最近では中小規模企業でもこうした動きに追随するところが増えていますが、その場合はコスト削減のためにSOCを外部委託したいと考えている企業が多いようです。そのさい、外部委託先としてサイバー保護を提供する企業がいわゆる「マネージド セキュリティ サービス プロバイダ(MSSP)」です。
さて、こうして自社ネットワークの各所に多数のセキュリティ対策ツールを導入し、いよいよSOCを構築しよう、という企業が直面しやすいのが、「セキュリティツールが生成するデータが多すぎて何をどう見ればいいのか分からない」という問題です。とくに大企業の場合、エンドポイント保護、侵入検知システム、ファイアウォール、脆弱性スキャンツールなど、40〜60種類ものセキュリティ製品が導入されているケースが少なくありません。ここから個々のセキュリティ製品が、ネットワーク内の活動や疑わしいエクスプロイトに関する警告をそれぞれに生成してくるので、総量ではとても把握しきれないほどの警告を受け取ることになりがちです。
せっかくSOCを作ったのに、こうしてセキュリティツールから上がってくる情報を活かせないのでは意味がありません。そこで、SOC構築を検討中の組織の役員会、最高情報セキュリティ責任者(CISO)の皆さんには、次にあげる5つの重要な質問をすることで自社の状況にあった効果的なSOC構築を目指していただきたいと思います。
SOCの強みはなんといってもセキュリティ インシデントの特定・対処からさらに一歩進んだ対応ができることでしょう。たとえば脅威ハンティングはセキュリティ アナリストの重要な仕事のひとつで、サイバーセキュリティ ベンダと協力し、考えうる脅威の洗い出しを行います。このほか、セキュリティ インシデントの分析を行う業界ぐるみの作業部会であるコンピュータ緊急対応チーム(CERT)と連携する場合もあります。そこでの目標は既知の脅威に関する「IoC(侵害の指標)」データを収集することにより、アナリストが受け取った脅威を他の企業のそれと比較することです。
以上で見てきたように、実効性の高いSOCを構築したければ、はっきりした意図と目的意識を持つことが欠かせません。そこをきちんと意識すれば、SOCはコストではなくデータ保護と企業の評判に対する投資となりえます。
以上をまとめますと、自社の包括的サイバーセキュリティ戦略を立案するにあたり、またどのツールが必要かを見極めるにあたり、重要になるポイントは次の4つになります 。
さて、読者の皆さんのなかには「そろそろ自社のSOCを次のレベルに上げたい」とお考えの方もおられるでしょう。そこで、次回では「自社の SOC のレベルを上げるにはどうすればよいのか」という問題について取り上げたいと思います(『効果的なSOC、作れていますか?』は2回の連載を予定しています)。
※本稿は SecurityRoundtable.org に連載されたHaider Pashaによる『Are You Building an Effective SOC?』をもとに作成された日本語記事です。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.