SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Day 2023 秋の陣 レポート(AD)

「エンドポイントだけでは不十分」──インシデントの全体像を把握するために、複数製品の相関分析は必須

SOCで統合監視を実現へ。その最適解をマクニカが伝授

インシデントの全容理解のために複数製品の相関分析は必須

 実際のインシデント事例として、VPNの脆弱性を悪用して侵入して最初の端末を侵害、その後EDRが入っていない別のサーバーに移動して特権アカウントを取得して侵害ツールをダウンロードするという例を紹介した。

実際のインシデント事例
クリックすると拡大します

 最初に侵害したPCにはEDRが入っていたため、侵害ツールのダウンロードを検知してブロックできた。しかし、EDRが入っていないサーバー(Server1)については検知されずに特権アカウントを使ってADに侵入された。いくつかのファイルを圧縮してアップロードし、最終的にランサムウェアが実行された。ADにはEDRが入っていため、検知・ブロックができたという。

 監視状況としては、EDRのみSOCの外部サービスを使って監視していた。そのため、EDRが入っている最初のPCと最後のADについてはアラートが上がったが、EDRが入っていないサーバーでは状況を追うことができず、インシデントの全体像を把握するためには、SOCベンダーからの報告をもとに自社でアクセスログを確認しながら調査を行う必要があったという。ネットワークについては調査ができたものの、ADはログ量が多く、調査手法が確立されていなかったことで調査が難航した。

 そのため、この事例では最終的にSOCで複数製品の統合監視を行うことにした。これにより、調査がすべてSOCベンダーで行われ、セキュリティ担当者は結果報告を受けるのみという体制になったそうだ。

 このようなことから、昨今の脅威に対してインシデントの全体像を把握するためには複数製品の相関分析は非常に有効であるため、SOCでの統合監視が重要になる、と沼田氏。これにより、自社で個別に調査をしていた工数が削減され、セキュリティの専門家に監視を任せることでセキュリティの強化も実現できる。

SOCによるセキュリティ製品の統合監視
クリックすると拡大します

 なお、経済産業省の「サイバー・フィジカル・セキュリティ対策フレームワーク(COSF)」をはじめ、医療関連では厚生労働省、日本自動車工業会の「自工会/部工会・サイバーセキュリティガイドライン」など、規制の面でも統合的な監視を求める動きが出てきていることも紹介した。

有効策のSOC、事業者選びにおける失敗に注意

 SOCで統合監視を実現するのは、今日のサイバーセキュリティ対策として有効な策と言える。沼田氏は実際の導入事例も紹介した。

 この企業は従業員数約3,000人の製造業で、それまで複数のセキュリティ製品を導入していたものの、運用に関する知識が社内にはなかったという。個別にSOCベンダーに依頼していたが、SOCベンダー側で相関関係を分析できず、工数もかかるという課題を抱えていた。

 そこで統合監視サービスを導入することに。SOCベンダー1社で複数のセキュリティ製品を相関分析した上で報告するため、不要なやり取りが減るなど工数が削減。発生した事象の詳細やとるべき対策が明確になることで、対応のスピードも改善したという。

単一SOCによる統合監視の事例
クリックすると拡大します

 では、SOC事業者の選定にあたって注意すべき点はどのようなものがあるのか。沼田氏はまず、選定のよくある失敗例として、次の3つを挙げる。「監視対象の機器が限定的」「アウトプット内容が貧弱」「万一の際にIR(インシデントレスポンス)対応ができない」。IRサービスがない場合は別のIRベンダーに依頼をしなければならず、情報連携などに時間を要するために対応が遅れることになる。

次のページ
気を付けたい、選定時の3つのポイント

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Day 2023 秋の陣 レポート連載記事一覧

もっと読む

この記事の著者

末岡 洋子(スエオカ ヨウコ)

フリーランスライター。二児の母。欧州のICT事情に明るく、モバイルのほかオープンソースやデジタル規制動向などもウォッチしている。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:株式会社マクニカ

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18531 2023/11/16 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング