SOC、CSIRT、本当に自社運用できるのか?

security_20150701-1

自社でセキュリティ運用を実現したい、でも、そのためにはどのような体制、仕組みが必要なのだろうか。
彼らのミッションはなんなのか?運用する為の人材は?ツールがあれば運用できるのか?
どのようにすればSOCやCSIRTを運用できるのか、ポイントを解説する。

いままでのセキュリティの対策は如何に『攻撃を防ぐか』、『事故を起こさないか』という防御に注力してきた、しかし標的型攻撃が世間をにぎわすようになってきたことからようやく『100%の防御はあり得ない』という認識がもたれ、いわゆる事故や攻撃をいち早く『検知する』、被害を最小限に抑える『事後対策をする』ということに注目が集まってきている。

これらの検知や事後対策を支援するツールとして『SIEMツール』というものが企業に導入され、企業自身が自分で対策を行うための部隊として『SOC』、『CSIRT』と呼ばれる組織を自社内に立ち上げる企業もでてきた。

自社で対応できるようになる、という事は一つの理想形ではあるが、組織の形を作り、『SIEMツール』を導入するだけでは当然機能しない、本当の意味で自社運用する為にはどのような仕組みが必要なのか?今一度考えてみよう。

security-20150615-01

仕組みとして

  • SOC、CSIRTの目的の明確化(対応範囲の明確化)

    組織が守るべきはどのような何なのか?どのような脅威から守るべきなのか?
    現状把握(アセスメント)の上で想定される脅威を理解し、それに対する検知や対応を行う必要がある。
    すべてのシステムのログを取り、あらゆる脅威に対応することになれば、恐らく本当に対応するべき脅威を見落としてしまう可能性がある。

  • 検知内容を分析、更新させる

    ログやアラートを検知していくと、とてつもない数のログを分析しなければならない、今はSIEMツールという便利なツールが分析を行ってくれるが、そのツールに対して分析の閾値を設定、調整するのは最後は人間の仕事だ。
    これを怠ると脅威への過剰対応や見落としにつながるため、分析内容を正確に理解し、調整することが必要となる。

  • 各部門との連絡・情報連携の経路確保

    脅威が発生したときにSOC、CSIRTの部門が全てを解決してくれると期待していないか?実際に脅威は現場で起きており、それらをSOCやCSIRTだけで解決するには無理がある。
    脅威への対応は必要となる部門(システム対策はIT部門、対外的な情報発信や規制は広報部門、顧客対応は営業部門など)が対応できるよう『対策委員』をつくりそれぞれが情報共有を行いながら対応できるようにしなければならない。

  • 被害の内容によるランク付けとそれぞれの対応フロー

    すべての脅威に全社で対応する、というのは実際はあり得ない。現状把握にて想定される脅威をランク付けし、それぞれに対して必要となるフローや手順を準備し、訓練を行うことが重要である。

SEC0701-2

体制として

  •  運用させるために必要となる人材

    情報セキュリティのスペシャリストが望ましい、が、スペシャリストとはどのような人材なのか?

    システム基盤を理解し、製品知識があり、起こり得る脅威を把握しそれに対して迅速かつ正確に対応できる人材、そのような人間は現実的に用意できない。

    では、どのような人材が必要なのか?それぞれ対応できる要員を準備する必要がある

    • セキュリティの最新動向を把握できる情報収集能力がある(セキュリティ情報の収集)
    • 脅威の発生時にツールを用いて被害状況を把握できる(SIEMツール管理者)
    • 脅威発生時にフローや手順から最適な対策を経営者に報告、承認を得ることができる(SOC、CSIRTの責任者)

24時間体制を敷く場合はそれぞれの役割を担当できる要員が複数人必要となることを忘れてはいけない。

  • 外部へ相談ができるネットワーク

    脅威が発生した可能性がある場合、自社内の情報だけでなく、外部の専門機関やサービスと契約し、相談できるネットワークを準備しておかないと、運用担当者のスキル・経験に依存した対応となってしまい、SOC、CSIRTの価値が下がる。

  • SOC、CSIRTが持つべき『権限』

    脅威の可能性について調査する権限、軽微な脅威に対して対応指示ができる権限を有しておかなければ、上位役員のクライアントがマルウェアに感染してしまっても、調査・対応までに時間がかかり、被害が拡散するおそれがある。ただし業務の停止に関わる判断は経営者が行わなければならない。

  • 発生した脅威から改善するための体制

    脅威の原因を分析し、発生確率を削減または撲滅するためには、システム部門やルール変更に対応する現場部門の協力は必須であり、これらの協力体制を組織立ち上げ時に定めておく必要がある。

これらを初期段階に決めることができれば、運用していくなかで人的、組織的、システム的に成長がみられ、脅威に強い体質、企業となっていくのであるが、実質日本には約23万人のセキュリティ関連従事者がいるもののそのうち14万人は与えられている業務に対してスキルが不足しているという調査結果がIPA(※注1)より公表されています。このような実態の中、本当に自社でSOCやCSIRTが必要なのか?人材を用意できるのか?そのあたりから見直す必要があるのではないだろうか?

※注1 http://www.ipa.go.jp/security/fy23/reports/jinzai/

用語解説

  • SOC ・・・セキュリティオペレーションセンターの略、ネットワークやサーバを監視し、セキュリティインシデントの発見および対策を実施する。リモートで監視や運用を実施するサービスのほか、最近では自社内にSOC組織を立ち上げ、運用する企業も出てきた。
  • CSIRT ・・・SOCと同じく監視からセキュリティ対策を行う組織の名称で、外部CSIRTや内部CSIRT等の分類があるが、SOCと比べるとより監視と情報分析の意味合いが強い。
  • SIEMツール ・・・SIEMとはSecurity Information and Event Managementの略でネットワーク機器やサーバなどのログを収集、監視することでコンプライアンス違反を監視するとともに、イベントをリアルタイムに検知することでインシデントへの対策を迅速に、かつ管理者の負担を減らすツールとして注目を浴びている。

 

著:市川 順之
オープン系システムの提案~構築、仮想化統合などのエンジニア経験に加え、情報セキュリティ規定策定支援、Pマーク取得支援、BCP策定支援、DRサイト構築支援、品質管理マネジメント策定、認証取得コンサルティングなどの実績を誇る。著書に「平成20年度 情報セキュリティ市場調査報告書」と「事業継続のための高回復力システム 基盤導入ガイド」がある。

Pocket

コメント

「セキュリティ」のイベント・セミナー

開催
ランサムウェア対策ハンズオン