効果的なSOC、作れていますか? 第1回

今日、多くの企業がサイバーセキュリティに大きな予算を割いています。ですが、支出に見合った成果をあげるには、それ相応の包括的セキュリティ戦略が欠かせません。そのための最新アプローチとはどのようなものでしょうか。それは「効果的なSOC（セキュリティ オペレーション センター）を構築すること」です。

通常、組織におけるSOCの位置づけは「サイバーセキュリティ業務で中核的な役割を果たすコマンドセンター」でしょう。そこではセキュリティ アナリストがチームを組み、組織の安全を守るのに必要な手順をまとめた運用プレイブックに従って業務を行っています。ここでの業務には、高度な検出ツールを使って、サイバー攻撃を識別、記録、撃退することが含まれます。

大企業、とくに個人識別情報（PII）を含む機密データを扱う企業では、SOCを効果的に運用できているところが増えてきています。その代表的業種は金融や小売ですが、政府と取引のある企業、DX・ビッグデータ活用を進めている組織などにも、SOCの運用に成功しているところがたくさんあります。 

最近では中小規模企業でもこうした動きに追随するところが増えていますが、その場合はコスト削減のためにSOCを外部委託したいと考えている企業が多いようです。そのさい、外部委託先としてサイバー保護を提供する企業がいわゆる「マネージド セキュリティ サービス プロバイダ（MSSP）」です。

さて、こうして自社ネットワークの各所に多数のセキュリティ対策ツールを導入し、いよいよSOCを構築しよう、という企業が直面しやすいのが、「セキュリティツールが生成するデータが多すぎて何をどう見ればいいのか分からない」という問題です。とくに大企業の場合、エンドポイント保護、侵入検知システム、ファイアウォール、脆弱性スキャンツールなど、40〜60種類ものセキュリティ製品が導入されているケースが少なくありません。ここから個々のセキュリティ製品が、ネットワーク内の活動や疑わしいエクスプロイトに関する警告をそれぞれに生成してくるので、総量ではとても把握しきれないほどの警告を受け取ることになりがちです。  

せっかくSOCを作ったのに、こうしてセキュリティツールから上がってくる情報を活かせないのでは意味がありません。そこで、SOC構築を検討中の組織の役員会、最高情報セキュリティ責任者（CISO）の皆さんには、次にあげる5つの重要な質問をすることで自社の状況にあった効果的なSOC構築を目指していただきたいと思います。

効果的なSOCをつくる5つの質問

1. なぜSOCを構築するのか(Why): SOCの構築で何を達成したいのか目標を明確にします。ここでは「サイバー脅威を緩和し、組織のデータと評判を守ること」がその目標となるでしょう。では、達成度を測る指標としては何が使えるでしょうか。たとえば「インシデント対応時間」などがこの指標に使えるでしょう。 このほか、CISOと役員会の間で、SOCの提供サービスレベルを定めた合意もあってしかるべきです。対応スピードや重大な脅威を報告するプロセスなどを規定したサービスレベル契約（SLA）に、この合意内容を記載しておくようにします。 
2. SOCで請け負う各サービスの開始タイミングはどうすべきか(When): SOCが提供しうるサービスは30種類以上におよびます。ここで「サービスイン初日からすべてのサービスを同時に提供する」などと気負ってしまうといらぬプレッシャーを招きかねません。そのかわり、サービスを論理的に分類し、それらを段階的に導入していくようにしましょう。そのさいは、いわゆる「能力成熟度モデル」を使うことをお勧めします。能力成熟度モデルは、ソフトウェアの開発プロセスを段階的に洗練させていくために使われる手法で、通常は洗練度を5つの段階に分けて対応します。SOCが最初の成熟度段階をクリアしたら、CISOと役員会が次の段階に進む前にその段階の達成状況をチェックし、評価するようにします。こうすることで、次の段階に進む前に、各段階がきちんと実装され、機能していることを把握できます。  
3. 各サービスをどのように実装すべきか(How): SOCを効率化するために従うべきプロセスを決めます。このさいは、運用プレイブック、プロセス図について議論を重ねることが重要です。 
4. 誰が責任者か(Who): セキュリティ部門以外で、SOCの実効性にからむ発言権を持つ部門がどこかを確認します。一般には、人事、コンプライアンス、広報などの部門がそれにあたります。   
5. どのような技術的対策が導入されるべきか(What): どんなSOCツールを使用するかは重要な決定事項です。セキュリティアナリスト、CISOの目的、予算、好みによって、その内容はさまざまでしょう。たとえばセキュリティ情報やイベント管理システム（SIEM）などは、そうしたツールの一例です。それらのツールが、組織のコンピュータネットワークに影響を与えうるすべてのセキュリティイベント（もしくは考えられる脅威）を分析するためのダッシュボードとなるのです。 なお、SIEMはSOCの武器庫にあるツールのひとつに過ぎず、SOCに代わるものではないということは覚えておいてください。このほかには、チケットによる事例管理システムも必要になります。脅威が識別されたらそれに対応するチケット（ないしレコード）を発行し、対応にあたるためです。こうしたチケット システムがあれば、次にシフトに入るスタッフにチームの作業をスムーズに引き継げます。このほか、低レベルの脅威インテリジェンス収集・分析を自動化するいわゆる「セキュリティオーケストレーションおよびレスポンスツール（SOAR）」もとりうる技術的対策のひとつになるでしょう。 

SOCの強みはなんといってもセキュリティ インシデントの特定・対処からさらに一歩進んだ対応ができることでしょう。たとえば脅威ハンティングはセキュリティ アナリストの重要な仕事のひとつで、サイバーセキュリティ ベンダと協力し、考えうる脅威の洗い出しを行います。このほか、セキュリティ インシデントの分析を行う業界ぐるみの作業部会であるコンピュータ緊急対応チーム（CERT）と連携する場合もあります。そこでの目標は既知の脅威に関する「IoC（侵害の指標）」データを収集することにより、アナリストが受け取った脅威を他の企業のそれと比較することです。 

以上で見てきたように、実効性の高いSOCを構築したければ、はっきりした意図と目的意識を持つことが欠かせません。そこをきちんと意識すれば、SOCはコストではなくデータ保護と企業の評判に対する投資となりえます。

以上をまとめますと、自社の包括的サイバーセキュリティ戦略を立案するにあたり、またどのツールが必要かを見極めるにあたり、重要になるポイントは次の4つになります 。

セキュリティ戦略立案の4つのポイント

1. 自社ネットワークに多数のセキュリティ対策ツールを導入している企業は、SOCを構築することで、脅威やリスクの可視性を高め、同時にそれらのコンテキストを理解できる
2. SOCでセキュリティ上の脅威を識別して対処するだけでなく、考えられる攻撃の原因を探し出し、予測する
3. SOC構築が必要な理由を明確にし、上記5つの「なぜ」「いつ」「どのように」「誰が」「何を」の質問に答えられるようにする
4. SOCを構築することで事後対応型から予防型の脅威マネジメントに移行しやすくする

さて、読者の皆さんのなかには「そろそろ自社のSOCを次のレベルに上げたい」とお考えの方もおられるでしょう。そこで、次回では「自社の SOC のレベルを上げるにはどうすればよいのか」という問題について取り上げたいと思います（『効果的なSOC、作れていますか?』は2回の連載を予定しています）。

※本稿は SecurityRoundtable.org に連載されたHaider Pashaによる『Are You Building an Effective SOC?』をもとに作成された日本語記事です。