気を付けたい、選定時の3つのポイント
このような失敗例を踏まえ、SOC事業者の選定のポイントとして、沼田氏は次の3つを挙げた。
- 時勢に合わせた監視ができる
- アウトプットが充実している
- シームレスなIR支援ができる
まず、時勢に合わせた監視とはどのようなものか。当然のことながら攻撃手法は常に変化している。これまでなら、メールやWebが主な侵入口で、攻撃手法は数台の端末を暗号化していくというものだった。これに対し、現在の侵入口は多様化し、探索を行って奥深くまで侵入するなど手法が高度化している。そのため、「様々なセキュリティ製品に対応し、脅威動向や市場ニーズなどの状況に合わせて積極的に拡張できることが重要」と沼田氏。
また、予算、環境の変更により監視対象を変更する必要が出てくるかもしれない。そこで、段階的に監視したり、他製品にリプレースした後も継続監視できるなどの「柔軟性」も大切だという。
さらに、EDRやProxyなどの各カテゴリーで特定のベンダーの製品のみに対応をするのではなく、そのカテゴリーに該当する製品であれば、ある程度幅広く対応をすることのできる事業者が望ましい、と付け加えた。
アウトプットの充実については、「現在の状況がわかりやすい」「事象に対する詳細情報がある」「複数のログの相関分析した情報がある」「具体的な推奨実施事項の情報がある」と4つの点が含まれているべき、と沼田氏。
たとえば、アラートが上がった製品の調査状況だけでなく他のログと合わせて相関分析し、その結果が記載されていれば、結果に対する納得感が上がる。また、担当者が他の人に説明する場合も、説明がしやすいだろう。特に、推奨実施事項については、「このファイルを削除してください」など具体的にとるべきアクションが記載されていることは、「一番大事なポイント」と述べる。これにより、「今何が起こっていて、どういう状態で、次に何をすればよいかが判断できる」(沼田氏)。
シームレスなIR支援については、SOCで調査した結果とIRとが連携する必要があるが、IRベンダーとSOCベンダーが異なる場合はIR事業者のヒアリングに時間がかかることが考えられる。同じ場合は内部で情報連携できるため、ヒアリングの時間は短くて済む。SOCで監視していても、万が一のインシデントが発生する可能性があるため、ここも重要なポイントと言えそうだ。
最後に沼田氏は、「エンドポイントのみでは検知できない攻撃手法が存在する。インシデントの全体把握、適切な検知や調査のためには、複数製品のログの相関分析が重要」と述べ、統合監視のためのSOCの必要性を強調した。
マクニカのセキュリティサービスをもっと知りたい方へ
本記事を読んで、マクニカのセキュリティサービスを詳しく知りたい方や相談したい方は、こちらのフォームよりお問い合わせください。
