SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

ファイアアイ三輪信雄のCTOニューズレター

自社SOC運用の課題

003


 ファイア・アイCTOの三輪です。この原稿を書いているのは中国の旧正月の休暇の時期にあたります。その影響か攻撃も静かに感じられます。ファイア・アイのCTOになってみて改めて感じたことは、外人もよく働く、ということです。私もそれなりに働く方だと自負していましたが、私以外のCTOも本当に良く働きます。

  相手が休日や夜中にメールを送っても、すぐに帰ってきますし、時差のある電話会議では、お互いに深夜、早朝でもお構い無しに議論します。

 また、移動量も半端ないのです。私は日本担当なのですが、私以外はカバーする範囲が地球規模で広いので、とにかく常に飛行機に乗って移動しています。その合間にもスマホなどでもバンバンメールが飛んできます。

 こういう人たちと仕事をしていると、まだまだ私も頑張らないと、と思わされます。

 さて、そんな忙しく飛び回っているCTOの間で話題になっているのは「SOCの効率化」です。日本ではほとんど実装されていない自社運用のSOCの話題です。

 日本ではSOCはセキュリティ専門会社にアウトソーシングする流れがあり、自社の社員が膨大なログを監視して対応しているところはほとんどありません。アウトソースしているとしても、その多くが公開系サーバの監視です。つまり、IDS/IPSやWAF,Firewallなどが監視対象になっているのです。

 当社のようなマルウェア対策製品の監視、運用はまだまだこれから、といった企業が少なくありません。一方で、特に米国では既に自社でSOCをやっているところは珍しくありません。

 日米の大きな違いは「運用」であるといっていいでしょう。検知された攻撃に対処するためには、サーバやネットワークの管理者がセキュリティの知識や理解を持ちながら、正確に対処して行く必要があります。米国ではそれが実践されているのです。膨大なログの分析も自社で行うことが多いのです。特に、マルウェア対策となると、感染パソコンの隔離や調査、サーバログの確認など、内部LAN運用担当者との密接な連携が必要になります。

 日本では、監視は外部セキュリティ専門企業に任せて、異常があったら通知を受けて、サーバやネットワーク管理者が対応する、という流れになっています。この場合、対応できる内容は限られてしまい、不審なアクセス元の遮断や不正なコンテンツの削除などの対処療法が主なものになります。

 社内でセキュリティ監視を行うSOCを持つことによって、セキュリティチームとシステムの運用チームのコミュニケーションがスムーズになり、些細な兆候であっても積極的に調査や分析が行われるようになります.システムそのものも常にセキュリティ的に進化を続け、より強く、より速く異変を検知できるようになるのです。

 ところがそんな社内のSOCの悩みはコストです。コストの多くは人件費であり、人件費の多くは調査や分析に投じられています。この調査や分析を効率的に行えないか、という課題があるのです。調査や分析を効率的に行うことによって、限られた人的リソースでより早く、より正確に脅威を発見、防御することができるようになるからです。

 自らがSOCの運用者と利用者になることによって、より高度なセキュリティ人材が求められますし、育成することも出来ます。

 そのようなセキュリティのプロが社内に多い米国では、より効率的なログの分析やマルウェアの調査の方法が求められるために、そのニーズに対応した製品が次々と生み出されているのです。

 そのような製品が日本にも上陸するのですが、そもそもセキュリティのプロが社内に少ない日本では、プロが使いこなすための道具、としてではなく、素人でも導入すれば安全になる、という期待を受けてしまうのです。よく言われる「ポン付け」としてのセキュリティ製品が期待される訳ですが、そもそもがプロが使いこなすための道具なので、使用者の技術力も相当に求められるものです。

 米国ではそれでも現在の進化するマルウェアなどのサイバー攻撃に対抗するためには、もっと多くのデータをもっと短時間に分析することが求められているのです。そのことが我々CTOの間では話題になっているのです。

 日本では、ようやく自社SOCを持とうという気運が高まってきたところで、人材育成など課題が山積みです。そんな中でも、大陸方面からはサイバー攻撃が進化しながら続いています。

 私はこのような日本と米国の違いを理解しつつ、本社の経営陣に日本の現状やニーズを伝え、日本に適合した導入を進めることも仕事になっています。

 ファイア・アイは1月にMandiant社を買収しました。これにより、SOCにおけるセキュリティ運用を効率化し高度化する最先端の技術とノウハウを顧客に提供することができるようになったのです。

運用がキー!(CTOのメモより)
運用がキー!(CTOのメモより)

 

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
ファイアアイ三輪信雄のCTOニューズレター連載記事一覧

もっと読む

この記事の著者

三輪 信雄(ミワ ノブオ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5591 2015/07/22 16:27

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング