インテリジェンス主導型SOCにより、インシデント解決までの時間を最大60%短縮
最近のサイバー攻撃に対するセキュリティ運用センター(SOC)の有効性と、現状のSOCの問題点、そして問題点を解決する「インテリジェンス主導型セキュリティ運用センター」構築の提案などを、技術資料を根拠に説明する。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
このため組織は、すでに侵入されているという認識に切り替え、たとえ不正侵入があってもビジネスが損害を受けないようにするというセキュリティ施策に重点を置く必要がある。
すでに侵入されていることを前提としたセキュリティ施策とは、脅威の検出と修正に組織のセキュリティリソースを多く割り当てること。そのためには、インテリジェンス主導型のセキュリティ対策を推進する必要がある。これにより、社内外の情報源から収集したあらゆるセキュリティ情報を活用でき、目に見えない脅威を検出できるようになるだけでなく、将来的に発生する脅威も予測できる。
EMCジャパン株式会社 RSA事業本部 能村 文武氏による本寄稿記事は、最近のサイバー攻撃に対するセキュリティ運用センター(SOC)の有効性と、現状のSOCの問題点、そして問題点を解決する「インテリジェンス主導型セキュリティ運用センター」構築の提案などを、技術資料を根拠に説明する。
技術資料「インテリジェンス主導型セキュリティ運用センターの構築」
https://archives.netsecurity.ne.jp/a.p/117/
●ポイントは「ビジネスが損害を受けないようにすること」
多くの組織では、未だに外部からの不正侵入を防止することに重点を置く境界型のセキュリティツールに多くの金額が投資されています。しかし、高度なサイバー攻撃の登場により、こうしたツールはすでに時代遅れになっています。現在、そしてこれからも、サイバーセキュリティにとっての最優先課題は、侵入や攻撃を阻止することではなく、ビジネスが損害を受けないようにすることです。
そのために有効なのが、新しいセキュリティ分析プラットフォームのビッグデータ機能です。これにより可視性を高めて異常な状況を特定できます。さらに、隠れている脅威の痕跡を発見し、差し迫っている攻撃を予測する機会も大幅に増えます。SOCが高度なサイバー脅威により増幅するリスクに対応しながら、組織の効率化と価値を向上するためには、セキュリティの「人材、プロセス、テクノロジー」を最適な形で連携させ、セキュリティ機能を拡充することが極めて重要です。
●「人材、プロセス、テクノロジー」を三位一体で連携
Global 1000 企業のセキュリティ部門の幹部で構成されているセキュリティ協議会(SBIC: Security for Business Innovation Council)は組織に対し、重要な情報やビジネス資産を保護するには「インテリジェンス主導型セキュリティ」と呼ばれるデータ集約型のアプローチを用いるよう助言しています。さらに「人材、プロセス、テクノロジー」を三位一体で連携させることで、通常のタスクが自動化され、ワークフローが効率化されるため、大幅な省力化によってSOCの運用効率が向上します。資料では、この部分の説明に大きくページを割いています。
インテリジェンス主導型セキュリティプログラムに向けてテクノロジーを調整する際、最初にすべき作業は、組織内にすでに存在しているセキュリティツールと情報資産を確認することです。 現在所有しているものを最大限に活用できているか、また、技術的資産は意図した機能をどの程度果たしているかを調査します。そして、繰り返し実行されるタスクを自動化し、ワークフローを統合するようにセキュリティプロセスを設計することでSOCの生産性を高めていきます。
スキルを持った人材の不足に対応する 一つの手段として、プロセスとテクノロジーを調整し、アナリストがより高度なタスクに注力できるように日常業務を軽減することが挙げられます。RSAのこれまでの経験から、ツールとプロセスを自動化することで、日常的な低レベルの脅威が選り分けられ、アナリストのワークロードと時間の負担を軽減できます。実際、5人のアナリストを擁する SOCがツールとプロセスを自動化したところ、25人のアナリストを擁するSOCを凌駕する実績を挙げた例もあります。
●インテリジェンス主導型SOCを実践するEMC
EMCは自社の情報セキュリティ、リスク管理、顧客セキュリティ管理、企業保護・調査の各グループ間で、緊密なコラボレーションを特徴とする集約型のセキュリティ組織を構築してきました。これらの組織を一つにまとめることによって、指標および傾向の分析が可能になり、組織全体のリスクを把握できるようになりました。インテリジェンス主導型セキュリティプログラムの実現のため、人材、プロセス、テクノロジーを調整することで、インシデント解決までの平均所要時間が最大60%短縮されたと EMC CIRC は推定しています。
効率を向上させる最大の要因は、テクノロジーとプロセスの統合です。これにより、インシデント関連情報を手動で収集する作業の多くが不要になります。また、資料にあるEMCの RSA Security Analytics および RSA ECAT の導入事例のとおり、脅威検出の一部が自動化されます。自動化が実現したことで、CIRC の脅威検出・対応機能が拡張され、アナリストはより優先度の高いインシデントに多くの時間を費やせるようになりました。アナリストは、RSA Archer の中央セキュリティ管理コンソールを介して、潜在的な脅威に関するあらゆるデータを検証でき、分析および意思決定の速度を向上できます。EMCの事例については、資料に詳細に記されています。
技術資料「インテリジェンス主導型セキュリティ運用センターの構築」
https://archives.netsecurity.ne.jp/a.p/117/
《EMCジャパン株式会社 RSA事業本部 能村 文武》
関連記事
この記事の写真
/