セキュリティサービス 2021.02.22

こんなはずじゃなかった！苦労する前に知りたい SOC サービス選びの最適解

SIEM
SOC

日々、サイバー攻撃が高度化する中で、セキュリティ運用のアウトソースを検討する企業も増えています。この記事では、アウトソースを検討する際の意外な落とし穴と、最適解を解説していきます。

セキュリティ対策におけるスキルの高度化と高まるSIEMの重要性

今やサイバー攻撃は防御しきれるものではなく、セキュリティ対策は侵害される前提で如何に早く察知して対処するかが求められています。IPS や Sandbox の導入が進み、EDR の導入を検討・完了している企業も非常に多くなっていますが、これらの検知型製品は導入しただけでは機能しません。

これらは過検知・誤検知の可能性があるアラートを大量に出す製品で、1 日に数百～数千もアラートを出すことも珍しくありません。SOC 担当者はこれらの膨大なアラートを把握・理解したうえで、内容に応じてログを利用して影響度分析やトリアージを実施する必要があります。また、セキュリティデバイスだけでは見逃してしまうような脅威の検知手段として、ログを相関分析する必要もあります。これらの状況に対応するために、SIEM は非常に重要なツールとなっていることを、まず前提条件としてお話していきたいと思います。

セキュリティサービス_図1.JPG

しかし、SIEM を使う事は難しいと思っている方も多いのではないでしょうか。実際にSIEM の導入と運用には課題を抱えている企業も多いのが現実です。正しく機能させるにはセキュリティに関する知見が必要になるためです。サイバー攻撃手法、脅威情報、セキュリティ機器などセキュリティに関する理解に加え、自社の環境、業務、ログなど、自社環境に関する理解も必要であり、脅威の顕在化から対処までを適切に完結するスキルを持っている必要があるのです。

セキュリティサービス_図2.JPG

セキュリティチームとしてのサステナビリティ確保

このように SIEM の活用まで含めたセキュリティ運用は高度化・拡大し、非常に専門的なジャンルになっています。ここで企業の課題となるのは運用スキルだけでなく、運用人数の確保ではないでしょうか。その背景には予算不足、異動や退職による人材の流出、IT人材のひっ迫による採用難等があげられるでしょう。

また、自社運用を考えるときの課題はキャパシティを継続することにあります。運用人材が足りなくなった時、それはセキュリティ機能がストップするという事になりかねません。セキュリティ運用を実施する組織において、サステナビリティは非常に重要になります。

セキュリティサービス_図3.JPG

セキュリティ運用をアウトソースする際の意外な落とし穴

継続性まで含めた運用体制の構築を考慮した結果、アウトソースサービスを利用することは非常に現実的な選択肢であり、既に一般的になっています。ITR のレポートによれば企業の半数が SOC・MSS（マネージド・セキュリティ・サービス）サービスを導入済みもしくは検討中ということがわかります。

セキュリティサービス_図4.JPG

アウトソースのサービスは既に非常に多くのサービスが存在し、選択肢も富です。しかし、正しい選択をしないと結局セキュリティ運用はまわらず、失敗することになってしまいます。

落とし穴①：アウトソースに運用の全ては任せられない！？理想と現実のギャップ

当たり前かもしれませんが、運用に紐づく全てのタスクについて、誰がやるかという問題がついてまわります。

アウトソースを選択するときに必ず認識しておかなければいけないのは、アウトソースのみでセキュリティ運用が完結する事は基本的にはないという事です。すでに何かしらのサービスを導入している方は理解されていると思いますが、社員でないと出来ない事は確実にオペレーションとして残ります。ここで、自社リソースで何を実施すべきかを明確にし、何をアウトソースするかを理解しておかないと、運用の破綻をきたすことになってしまうのです。

例えば、IPS や Sandbox のようなセキュリティ機器に対する MSS では、サービスの内容はアラートの精査と内容のフィードバックが基本です。もちろん有用ではあるものの、対象となる PC や社員の特定と情報の提供、情報漏洩やラテラルムーブメントにおける前後での通信やActive Directory に対する挙動は分析しません。それはアセット情報や Web 通信ログ、Active Directory のイベントログなどを分析対象としていないので当然のことです。

また、SIEM に対する MSS でもログからのアラート発報のみで、影響度調査、端末特定などは対象外のサービスもあります。ここで、MSS に委託したから運用は問題ないという判断をしていると、エスカレーションを受け取ったところで結局何を調査すればいいのか分からないということになります。結果、原因分析も影響範囲の特定も出来ずに端末をクリーンインストールしたりするだけで終わってしまう事になりかねません。これでは再発防止策も取れず、同じことを繰り返すだけです。運用の完結まで見据えたアウトソースの選択をする事が非常に重要になります。

落とし穴②：そもそもアウトソースできない！？自社のログ基盤が必要となる業務の存在

また、自社リソースでしか対応出来ない業務が存在することも大きな課題です。アウトソースサービスはどれだけ柔軟なものを選択したとしても、企業や業界ごとに大きく異なるセキュリティ対策・監査業務まで対応することは難しいのが現状です。自社でログを利用して対応しなければならない業務は必ず残ってしまいます。

セキュリティサービス_図5.JPG

アウトソース先にログを預けてしまったがゆえに、これらの業務が実施できくなってしまう事は避けなければなりません。また、各データが個別に管理されていては、いちいち各システムの GUI やサーバにログインしてデータを確認し、Excel などのツールで情報をまとめるという非常に非効率で冗長化的なアナログ運用になってしまいます。

予算はもちろん考慮すべきですが、「頑張って人力で対応する」という選択肢は最後の手段にすることをお勧めします。限られたリソースでこれらの業務に対応するには、生ログやデータを統合的に管理し、柔軟かつ迅速に目的のデータを特定し分析・レポートができる基盤を整備することが重要となるのです。

アウトソースのベストプラクティス

これまで述べてきた「運用の完結まで見越したアウトソースサービスの採用」「自社運用の為のログ分析基盤の構築」という課題を解決する手段としてマクニカネットワークスは Splunk を活用する「SIEM 運用監視サービス」( 以下本サービス ) を提供しています。

Splunk ビジネスを 10 年以上にわたり取り組み、ノウハウを蓄積しているマクニカネットワークスと、セキュリティ運用に強みを持つ S&J 株式会社が共同で開発したものです。本サービスは、セキュリティデータ分析基盤として Splunk を顧客に保有していただき、アラートの送出、詳細なトリアージ、そしてエスカレーションまでを 24 時間 365 日で請負う包括的な SOC サービスです。

企業が保有する Splunk に各種のセキュリティデバイスのアラートやActive Directory・Proxy などのログを集約、そこに相関分析ロジックとダッシュボード機能を持つ SOC App をアドオンする事で、SOC センターと連携し、アラートの発報、トリアージを実施します。トリアージの結果、脅威レベルが高いものに関しては SOC アナリストが Splunk を操作して生ログを確認し影響度調査までを行います。

セキュリティサービス_図6.JPG