サイバー犯罪は日々巧妙になっています。一方で、侵害がもたらす損害やサービス停止により生じたコストや、身代金および規制違反金の支払い額も増加傾向にあります。企業が専用のSOCを構築し、SIEMを導入して脅威の特定やアラームの生成を行う必要性が増しているのも当然です。しかし、ハッカーと戦うための備えはそれで十分でしょうか?
SOCおよびSIEMソフトウェアについて理解する
SOCとSIEMツールについて、ITプロフェッショナルはよく理解していても、ビジネスエグゼクティブたちには説明が必要かもしれません。
SOCは「セキュリティ・オペレーション・センター」の略です。ファイアウォールや侵入検知システム(IDS)などの消極的なサイバーセキュリティだけに頼るのは、城の周りに壁を築き、敵が乗り越えてこないように祈っているようなものです。さまざまな定義はありますが、一般的にSOCは企業のセキュリティ機能を集中管理する組織です。SOCの構築には、チームのスタッフを採用し、ホストシステムやITネットワークの監視を行ってセキュリティインシデントに対応するためのプロセスを決定する作業が含まれます。スタッフ1名によるSOCも例外的ですが存在します。
SOCには、何らかの種類のSIEMツールが必要です。SIEMは、セキュリティ・インフォメーション&イベント・マネジメントの略です。また、SIEMソフトウェアは、セキュリティイベントを検出して管理するために必要な情報を提供するツールセットです。
より具体的には、SIEMツールはさまざまなソースから取得したデータを集約し、正規化します。データは、メッセージログ(syslog)、OSログ、エンドポイントデバイス、ファイアウォール/IDSからの出力、およびネットワークフローログから取得できます。SIEMツールでは、単純にすべてのデータをロギングするのではなく、関係のないものを取り除きます。これを正規化と呼びます。SIEMソフトウェアは、次にインテリジェントなコリレーションルールを使用して、イベント間のリンクを表示し、ITサポートチームが分析に使えるようにします。アナリストは、NetFlow分析などを行って、異常の原因を調査し、必要な場合にはITインフラストラクチャーを保護するための措置を講じることができます。
すべてのSOCでは何らかのSIEMソフトウェアを利用しますが、それらはサイバーインシデント対応チーム(CIRT)や他のセキュリティ関連ITサービスでも使用されます。たとえば、ロサンゼルス市は、中央のサイバー侵入コマンドセンターにおいてSIEMの技術を採用しました。
SIEMの枠を超えて
SIEMソフトウェアは不可欠ですが、それだけで十分なのでしょうか?
SIEMツールの制約の1つに、システムが生成したシグナルしか扱えないという点があります。サイバー攻撃がマルウェアではなく、手動で実行された場合には、見逃してしまう場合があります。ユーザー固有の異常が発生し、脅威が差し迫っていることを示唆している可能性もあります。たとえば、「ある部署のあるユーザーが、移動が決定しているためにほとんど利用されていないシステムに何度もログインした」というケースがあります。あるいは、「ある従業員の個人情報がフィッシング攻撃により盗まれた可能性があり、外部の攻撃者がそれを使用して、不自然な時間にシステムにアクセスしようとした」あるいは「正規の従業員と同時にログインを試みた」などというシナリオもあるでしょう。
このようなシナリオは、ユーザー・ビヘイビア・アナリティクス(UBA)の対象領域です。UBAソフトウェアとSIEMツールとを統合することにより、パターンマッチング機能をシステムから内部および外部のユーザーに拡張して適用できるシステムが実現します。
企業がSOCを構築して運用すること自体は積極的な姿勢ですが、ほとんどの場合では対応は受動的となり、アラートを選り分けるのに多くの時間を費やすことになります。侵入防止技術を採用している場合でも、ネットワークの規模と複雑さのために対応が遅れることがあります。
問題は、ほとんどのSIEM/UBAツールが、それだけでは不十分であるということです。ただし、これらのツールは、他の専門機能を持つセキュリティツールと統合することができます。たとえば、
- ファイアウォールの外側に対応するEDRデバイス
- 脅威インテリジェンスフィード
- 侵入者トラップ(ハニーポット、ハニーファイル、ハニーユーザー、ハニークレデンシャルなど)
- ビルド済みの検知機能
- 中央集中的なログ管理テクノロジー
企業はもちろん、これらのツールを高度なSOCに統合するための技術的なリソースとノウハウがあることを確認する必要があります。もう1つの選択肢は、最高レベルのセキュリティ専門知識とツールを活用し、クラウドベースのSaaSアプリケーションと統合できるマネージドSOCサービスを利用することです。
SIEM、UBA、および他のセキュリティツールやプロセスを統合することにより、セキュリティ上の死角が縮小されるとともに、効率性の向上が期待できます。また、他にも改善が期待されることがあります。
SIEMがフラグを立てるデータの大半は、(ありがたいことに)脅威に結びつくものではありません。それでもなお、アナリスト達はその1つ1つを調査して、本物の攻撃に関係するデータ(平均では2〜5%)を探さなければなりません。
不要な情報を抑えて、効率性の向上を図るために、情報セキュリティ業界は医療分野における行動を手本にすることができます。救急隊員が大事故の現場に到着したときに、遭遇したすべてのケースに対し、画一的な処置を行うことはありません。失血死しそうな重症患者がいるときに、トレーニングを受けた医療スタッフが、腕を骨折した患者に包帯を巻いていたら、大問題になるでしょう。
これを避けるために、最初に対応したスタッフはトリアージシステムを使用して、患者の重症度を迅速に評価し、治療の優先順位付けを行えるようにします。
SIEMツールにトリアージプラットフォームをリンクすることにより、SOCのアナリストは、わずかなデータの不一致を苦労して調べようとリソースを無駄遣いする代わりに、最も顕著な攻撃の兆候に迅速に対応することができます。このようなトリアージプラットフォームは、誤警報が絶え間なく発生するために、実際の攻撃が見逃されてしまうような、アナリストのアラート疲れを回避します。
UBAとトリアージプラットフォームを統合した未来のSOCが形になり始めていますが、それ以上の進化はあるのでしょうか?
SOCがサイバーインシデントに、より迅速に対応できるようになるほど、永続的でコストのかかるビジネスの中断が発生する可能性は低減されます。最も急を要するシグナルにセキュリティチームのメンバーが対処するのを待つ代わりに、オーケストレーションソフトウェアを自動的に動作させるように設定することができます。たとえば、SIEMとUBAツールが攻撃の可能性が高いシグナルを受け取った場合、トリアージプラットフォームがアナリストに緊急調査を行うよう警告し、その間にオーケストレーションソフトウェアがIPをブロックしたり、ユーザーのアクセスを切断したり、ネットワークを切り離したりするといったことが可能です。
ケースマネジメント機能を統合すれば、フォレンジックチームが後でインシデントを調査したり、システムデータとコンテキスト情報を保存・整理したりすることが非常に簡単になります。
未来のSOCを予測する
IoTの進化に伴い、現在のSOCモデルは、ますます時代遅れになるでしょう。一方、AIと機械学習の採用によって、セキュリティソフトウェアはさらに賢くなると思われます。
将来のSOCがどうなるかを正確に予測することはできませんが、SIEM、UBAおよび他のツールをトリアージプラットフォーム、オーケストレーションソフトウェア、ケースマネジメント機能と統合すれば、将来も有効なセキュリティセンターを構築し始めることができるでしょう。
執筆者について:Brent Whitfield氏は、1993年以来、カリフォルニア州ロサンゼルスにあるDCG Technical Solutions Inc.のCEOを務めています。DCGは、限られたIT予算に配慮しながら、競争力と生産性を維持することを求められるロサンゼルスエリアの企業にITサービスを提供しています。Whitfield氏は、頻繁にブログなどに寄稿しており、Fast Company、CNBC、Network Computing、ロイター、Yahooビジネスで取り上げられています。https://www.dcgla.comは、MSP Mentorにより、北米で最も急速に成長しているMSPトップ10に選ばれました。Whitfield氏はMSPとしての経験を活かし、バックアップ、RMM、およびソフトウェア製品を市場に提供している多くの主要MSPベンダーのためのパートナー諮問委員会の役員を積極的に務めています。また、MSPとITのプロフェッショナルの継続的な教育に焦点を当てたMSPピアグループであるSMBTN - Los Angelesを率いています。Twitter:@DCGCloud
編集者注:ゲスト執筆者による本記事の意見は、筆者自身の意見であり、必ずしもTripwire Inc.の意見を反映するものではありません。
