「SOCの進化と正しいSOC」の選び方
近年セキュリティに関連するトピックスとして目立つのが「デジタル化」「自動化」といったキーワードだ。クラウドやソーシャル、モバイル、ビッグデータ解析など、新しい仕組みや技術を用いることは大きなメリットがあるものの、同時にリスクも内包する。特にIoTが進めば、セキュリティとして監視すべき対象は膨大に増え、単にログを吐き出させて蓄積するだけでなく、それらを基に何が起きているのかを分析し、必要に応じた迅速な対応を行なうことが限られた体制、予算の中で求められるようになる。
そうした概観を踏まえた上で、実際のセキュリティ運用についての調査結果を見てみると、既出のGISSによる調査によれば、サイバー攻撃の検出・通知を専門で行なう「セキュリティオペレーションセンター(SOC)」が導入されていない企業は44%に上り、56%の導入している企業においてもSOCが基本的なセキュリティ運用の要求に応えられていないと回答している。
藤井氏も「確かに自社を振り返ってもセキュリティの専門家を確保することは難しい。加えてセキュリティとシステム、特にネットワークとの運用の線引きが曖昧で、たとえばセキュリティ運用と言いつつ、ネットワーク機器の故障といった機器交換レベルの対応やインシデントのアラートをクライアントに通報するのみの対応しかできず、セキュリティインシデントの原因、影響やその背景などの詳細分析までの対応がないがしろにされてしまっている実状もある」と語る。
つまり、セキュリティ運用の体制が整っていない、あるいは整えたつもりが十分ではないという認識があり、それがセキュリティ対策の不安を払しょくできていないことにつながっていることが伺える。
セキュリティ運用の担い手として期待される「SOC」について、藤井氏はニーズに呼応して3段階で進化してきたと解説する。
出所:EYアドバイザリー・アンド・コンサルティング 藤井仁志氏、
Security Online Day 2017(主催:翔泳社)講演資料より
第一世代ではネットワーク境界のファイアウォールやIDS/IPSといったログのみを監視、言わば凝視することで、組織外部との「入口と出口」の監視を行なってきた。「内部は信頼のおける仲間であり、外からの悪意ある侵入者のみを防ぐ」というシンプルな考え方に基づいている。しかしながら、昨今の内部不正や、正規ルートでのアクセスによる不正などが増えていることを鑑みても、想定が現実的でなく、対応としては不十分であることは明らかだ。
一歩進化した第二世代では、ログ分析ツール「SIEM」を用いて基本的な分析を行ない、ネットワークを含めた複合的な不正の兆候を監視するようになった。しかし、多くの場合SIEMそのものの運用が非常に難しく、適切なチューニングが行なわれぬまま、実質的に設置されただけのままとなっていることも少なくない。多くのシステムがそうであるように運用の中で継続的な改善を行うための予算確保、そのための技術者の確保も課題となっている。
そうした問題を解決し、セキュリティ運用を効率化するために進化してきたのが、「サイバーアナリティクスSOC」と呼ばれる第3世代のものだ。ここ1年ほどで多くのITカンファレンスでも紹介されているように、AIや機械学習などを用いて効率的にセキュリティ運用を実現しようとしているソリューションを備える。
セキュリティ人材の確保やIoTなどによる監視範囲の増大などは世界共通の課題であり、データサイエンスを活用し、予兆検知、Threat Huntingにより早期対処を促す仕組みが登場してきたのは自然な流れと言えるだろう。さらに単に攻撃を識別するということに留まらず、将来的には攻撃予兆の検知なども可能となり、事故を未然に防ぐものとしても期待されている。
しかしながら藤井氏は「守る側が継続的に投資・対策を続けているにもかかわらず、攻撃する側もその複雑性や洗練度を上げているため、今後もサイバーセキュリティリスクは減ることがない。何が起きているのかを正しく見る仕組みを作らない限り、不安は解消しない」と可視化の重要性を強調する。
