ビジネスホワイトペーパー インテリジェントなセキュリティ オペレーション ハウツーガイド ビジネスホワイトペーパー 目次 3 SOCの目的とは 4 自社での構築とアウトソーシングの比較 5 5 5 5 インテリジェントなSOCを構築するための手順 スタッフ プロセス テクノロジー 7 基本事項の達成 8 スタッフ問題の解決 9 SOCの成熟化 10 SOCの高度な機能 11 まとめ: これからのSOC ビジネスホワイトペーパー 3 ページ ビジネスを成功させるには、革新、成長、発展が欠かせません。それを実現するために、組織に はセキュリティリスクを緩和させる機能が必要です。ネットワークからアプリ、データ、さらに はユーザーにまで、ビジネスのあらゆる要素にセキュリティを組み込む必要があります。それと 同時に、既存および新規の脅威を検出して対処するために、組織の環境を視覚的に把握すること も必要になります。これを実現する最も有効な手法の1つが、分析主導型のインテリジェントな セキュリティオペレーションセンター (SOC) の導入です。インテリジェントなSOCとは、テク ノロジーのワンボックスソリューションではなく、組織内で成熟度を高め、機能を高度化したも のです。 本書では、インテリジェントなSOCを実装するためのロードマップを示します。最初から着手し ようとしている場合でも、既存のセキュリティオペレーションのさらなる成熟化を目指している 場合でも、本書は、これまで取り組んできた手順を確認し、次に取り組むべきことを計画するた めのガイドとして使用できます。 SOCの目的とは SOCは、標準化された反復可能なプロセスを通じて組織の重要な資産を監視および保護するた めに存在します。これはつまり、組織の内外からの悪意ある行動を特定し阻止するためにビジネ ス全体を監視する役目を果たすということです。許容可能な予算の範囲内でビジネスリスクを緩 和し、さらに企業の運営や営業活動を妨害せずにこれを実現する必要があります。この結果とし て、SOCはビジネス目標と緊密に連動することが求められます。 最初のセキュリティオペレーション組織は、軍事機関や政府機関で編成されました。当初は侵入 してくる攻撃を阻止することにほぼ焦点を絞っていましたが、規制の施行に伴いコンプライアン スに対応範囲を広げました。これが内外両方の脅威の監視、およびユーザーやシステムの異常な 挙動の特定へと発展しました。一部のインテリジェントなSOCは、物理的なアクセスの監視へと 成熟化し、インテリジェンスフィード、追跡チーム、分析を活用して、以前から処理中の高度な 攻撃を根絶しています。 最も重要なのは、インテリジェントな SOCが組織全体の利害関係者に従って作業し、セキュリ ティ、コンプライアンス、適切なリスク管理の目標に合わせる必要があるということです。セ キュリティのための状況認識の中枢として、インテリジェントなSOCは以下のことが可能です。 1 2 3 リスク、ポリシー、ガバナンス、セキュリティ、財務に関する組織目標を調整する トレーニングを受けたエキスパートによる分析を通じて、資産の監視と保護に最適なツール、コ ントロール、自動化、手法を特定する 根本原因の特定、運用ポリシーの改善、システム管理の構成、そして最終的には組織のリスク緩 和を実現するために、反復可能なプロセスを使用して組織全体にわたって作業する 脅威が特定されると、セキュリティオペレーション組織は、適切な事業部門に問題をエスカレー ションして解決を図る任務を担当します。そして、その情報を独自のツールに反映させて、今後 の攻撃でのアラートや予測を効率化できるようにします。 セキュリティオペレーション機能の発展についての詳細はこちら: 「5G/SOC: SOC Generations (5G/SOC: SOC世代)」 ビジネスホワイトペーパー 4 ページ 自社での構築とアウトソーシングの比較 組織でのよくある検討事項は、組織内で独自のSOCを立ち上げるべきか、それともセキュリティ オペレーションをアウトソーシングすべきかということです。どちらにもメリットがあります が、最適な選択肢は組織のニーズよって決まります。組織にとって最初のステップとなるのは、 ビジネスニーズとSOC機能への期待を定義することです。それは選択肢の決定につながります。 さらに、「組織の規模と専有面積は?」、「セキュリティ侵害に対するリスク許容度は?」、 「組織の拡大スピードはどれぐらいか?」、「予算はどれぐらいか?」といった確認も行われま す。 最新の 専門知識 成長率 ベンダーとの 関係 ビジネスニーズ ? 組織の規模 業界規則 リスク許容度 予算 専有面積 タイムライン 図1: セキュリティオペレーションの実装と監視に関する懸念事項 幸いにも、業界には最新のセキュリティオペレーションを実現する効果的で実績あるアプローチ が数多くあります。テクノロジーの実装は、オンプレミスでも、クラウドでも、あるいは専任モ デルまたは混合モデルでのマネージドセキュリティサービス (MSS) による処理でも可能です。 テクノロジーとコンテンツの管理は、社内またはMSSで処理できます。さらに、セキュリティイ ベントの監視と分析は、社内、MSS、または両者を組み合わせて、総合的に行うことができま す。それらは、処理過程や営業時間に合わせてカスタマイズすることも可能です。ここでは構成 オプションの一部を紹介します。 どのSOCにも固有のニーズがあります。独自のセキュリティオペレーションのツールと機能に加 え、アウトソーシングしたものを適切に組み合わせることは、組織のセキュリティオペレーショ ン目標を満たすために必要となります。ITおよび物理的な環境は組織によって異なります。特に 組織独自のフィンガープリントは、その設計手法、企業の構造、ユーザーの行動パターン、ビジ ネスプロセス、データフロー、サプライヤーネットワーク、ユーザーインターフェイスなどに基 づきます。たとえば、大規模企業は社内で調査することを望みますが、中小規模の企業はリソー ス不足のためそれらのエンドツーエンドの管理を外部に委託することを求める可能性がありま す。 共同管理やその他のモデルなど、SOCを構築する際に考慮すべきことの詳細はこちら: 「Security operations: Build vs. outsource (セキュリティオペレーション: 構築かアウトソー シングか)」 ビジネスホワイトペーパー 5 ページ インテリジェントなSOCを構築するための手順 SOCを社内で構築する場合でも、MSSにアウトソーシングする場合でも、あるいはハイブリッ ドソリューションを使用する場合でも、現実的なセキュリティオペレーション機能が確立される ように手順を踏む必要があります。まず最も重要な手順は、SOCのミッションとビジネスケース を定義することです。これによって、SOCの目的がビジネスニーズに即していること、および ミッションに対する成否が判断可能であることが確認できます。ミッションの記述が非常に明確 であれば、リーダー職の交代が生じたときに予測を継続させるのにも役立ちます。 ミッションが明確に定義されたら、セキュリティオペレーション組織のスタッフ、プロセス、テ クノロジーのプラン作成に取り組む必要があります。 スタッフ スキルのあるセキュリティリソースを採用して定着させることは業界全体の課題となっていま す。SOCを成功させるには、そのためのプランを作成する必要があります。つまり、リクルー ティングプロセス、使用するトレーニング方法、優秀なリソースを定着させるためのキャリア成 長パスを特定します。さらに、明確な役割定義、互いにメリットのあるスケジューリング、適切 なパフォーマンス基準レポート、継続的なトレーニングとキャリア開発など、スタッフを定着さ せるための追加策も講じる必要があります。チームタイプ (レベル1、2、追跡、エンジニアリン グなど) の考え方については、「Growing the Security Analyst (セキュリティアナリストの育 成)」を参照してください。 プロセス 一連の優れたプロセスと手順により、持続可能かつ測定可能な方法でSOCを運用し、必要なとき にすぐにSOCでコンプライアンス活動をサポートできるようになります。固定のプロセスと手順 がなければ、SOCは個人の「部族的な知識」に依存するようになります。そのような個人が不在 のときや離職したときは、SOCが機能しなくなることがあります。プロセスに関する検討事項 としては、知識管理、分析、運用、技術、ビジネスに関するプロセスがあります。 SOCの全般 的な成熟度を高いレベルにするには、プロセスと手順の固定的かつ最新で関連性の高い基盤を構 築し、重要なタスクを一貫して実行するよう導くとともに、期待と成果を定義する必要がありま す。一部のセキュリティ対策は、人間による選別がまだ必要ですが、それ以外の主要な機能は自 動化できます。何がどうあるべきか、そして準備とケース管理に関するその他の問題をどのよう に扱うかを決めるのは、十分に定義されたプロセスによります。プロセスはグループごとに詳細 に定義することも可能です。 テクノロジー 昨今の企業では、多数のセキュリティテクノロジーが活用され、通常はさまざまなグループに よってサポートされています。セキュリティオペレーション組織は、そのような異種混在システ ム全体からセキュリティイベントデータを抽出し、テクノロジーを問わずセキュリティイベント を標準化して集約し、相関付けを行う必要があります。セキュリティ情報/イベント管理 (SIEM) システムの使用は、リアルタイムで攻撃の詳細情報をつなぎ合わせるのに欠かせないものになっ ています。また、優れたSIEMツールはセキュリティ侵害の迅速な調査も、ワークフローツール によるインシデント管理も可能にします。一元的なSIEMシステムを導入することで、組織はセ キュリティイベントの監視、分析、対応ができるようになります。 SIEM システムでワークフ ローツールを活用し、加えて先進的なSIEMツールが提供する高度な機能を利用することで、リ スクの特定、測定、緩和のための反復可能な手法が得られます。 ビジネスホワイトペーパー 6 ページ SIEMを導入せずにSOCをうまく機能させることはできませんが、利用されているテクノロジー とプロセスは他にもあります。SOCの構築を成功させるために、組織はセキュリティオペレー ションへの包括的なアプローチを活用する必要があります。これには、セキュリティ監視、イン シデント検出、システム侵害のエスカレーションと対応に関する基本事項の習得も含まれます。 ベースラインとなる機能が確立されたら、組織はさらに効果的にデジタル企業を保護するため に、高度なデータサイエンス、分析、共有インテリジェンスを活用するようSOCを拡大できま す。 成功するSOCの構築の詳細はこちら: 「Building a successful security operations center (成功するセキュリティオペレーションセ ンターの構築)」 データの可視化 シフトの交代 日常業務での コール 中核的な手順 情報の融合 レポート分析 危機対応 シフト スケジュールと スタッフ配置 イベント分析 定期レポート インシデント 対応 コールアウト 監視 インシデント 調査 選別 インシデントの 概要 アナリストの コメント ケース管理 トレーニング 集中監視 ユースケース Problem and change 運用の時間 モデリング 分析の時間 プロセスの 成熟度 構成管理: アプリケーション アクセス管理 コンプライアンス 対応 構成管理: アーキテクチャー メンテナンス 社内サポート ビジネスの継続性 ディザスタ リカバリ 主要業績評価指標 (KPI) ドキュメント 情報測定基準 アジャイル手法 インフラ ストラクチャの パフォーマンス 図2:SOCの手順フロー ビジネスホワイトペーパー 7 ページ 基本事項の達成 新たにSOCを実装する際に共通する誤りは、基本を固める前に高度な機能に飛びつこうとするこ とです。SOCの基本としては、以下の項目が挙げられます (ただし、これらに限定されません)。 • ミッションクリティカルなユースケースの実装: 適切に実装されている3つのユースケースは、 不適切に実装されている 20のユースケースよりも優れています。たとえば、「ログインに何 度も失敗した後に成功したログインにはフラグを立てる」、「侵入検出システム (IDS) におい て、既知の脆弱性による重大度の高いアラートがクリティカルシステムに対して生じたらエス カレーションする」、「LAN経由でログインしたユーザーが同時にさまざまな地域からVPNに 接続したときはアラームを発する」などです。 • HPE ArcSightでの基盤となるユースケースの実装についての詳細は、hpe.com/software/ activateでご確認ください。 • プロセスと手順を文書化: コンプライアンス要件とエスカレーション手順も含む。 • SOC内にあふれている重要な役割: 多様なスキルセットも含む (ネットワーク、マルウェア、ア プリケーション、オペレーション、管理など)。 • オペレーションの評価基準とレポート作成 : アナリストの 1 時間あたりのイベント数も含む (SIEMで消費される1時間あたりのイベント数は含まない) 企業は、SOCが (少なくとも) 既知の攻撃を特定し、攻撃を弱めることができるという確信を得 る必要があります。大量のデータソースを集約することは、成功しているSOCの判断基準として 考慮されません。さまざまなデータソースを使用して、反復可能な一貫した方法で脅威を特定で きることは、成功しているSOCの判断基準となります。人間による分析は、この脅威の特定で効 果を上げるという点で大きな役割を果たします。アナリストはSIEMテクノロジーから生成され た情報とアラートを使用して、特定のイベントについて高リスクのセキュリティ侵害を引き起こ すものか、単なる誤アラームかの判断を下す必要があります。どのようにこの判断を下すかは、 組織のセキュリティプログラムにとって極めて重要です。それによって、管理者を誤アラームで 忙殺させるか、重大なアラートを見逃すか、真の犯罪者を捕えるかの違いが生じるためです。絶 えずコンテキストを理解し、組織の「フィンガープリント」を変更し、そしてそれをプロセス内 で体系化することは、低い誤検知率を維持し、迅速かつ効果的に検出して対処するのに不可欠で す。 ヒューレット・パッカード エンタープライズは、セキュリティ分析フレームワークを使用し て脅威を特定し緩和しています。その詳細はこちら : 「 Identify Threats Faster: Security Analytics Framework (脅威特定の迅速化: セキュリティ分析フレームワーク)」 ビジネスホワイトペーパー 8 ページ スタッフ問題の解決 セキュリティに関して企業が抱える最大の懸念は、データ侵害ではなく、スキルのあるリソース が不足していることです。攻撃が複雑で、高度なサイバー攻撃を解決するのに時間がかかるた め、企業は攻撃に対応できるリソースを見つけるのに四苦八苦しています。ベンダーは防御機能 を強化するツールやテクノロジーを継続的に開発しているものの、テクノロジーだけでは問題が 解決されません。大部分の組織は、購入したツールを適切に活用できるエキスパートが足りない ことを認識しています。実際のところ、状況は悪くなる一方のようです。Forbesでは、グロー バルサイバーセキュリティのポジションの4分の1は、要件を満たす応募者がまったくいないた め、2019年まで空いた状態が続くと予測しています。 昨今のSOCは、このような問題に対処する際に新しい発想が必要です。一部のセキュリティオペ レーションソリューションには、以下のものがあります。 • 組織内において、ポテンシャルの高いリソースから、セキュリティの専門知識を増やしていく (社外のリソースを雇用するよりも時間がかからず安上がりである) • オペレーションやテクノロジーを最新の状態で維持するようマネージドサービスプロバイダー にアウトソーシングする • SOCの増築や成熟化プロジェクト、あるいは集団退職などの予期せぬスタッフ不足に対応する ために、必要に応じてオンデマンドで社内からリソースを調達する • プロセスと手順を厳格化して、特定のセキュリティインシデントへの対応に必要なスキルセッ トの要件を緩和する • 自動化ツールとオーケストレーションツールを強化して、セキュリティ侵害の調査とエスカ レーションを迅速化する 組織内部でのセキュリティアナリストの育成についての詳細はこちら: 「Growing the Security Analyst: Hiring, training, retention (セキュリティアナリストの育 成: 採用、トレーニング、定着)」 サイバーセキュリティの深刻なリソース不足への対応策についての詳細はこちら: 「Combating the cybersecurity job crunch (サイバーセキュリティの深刻なリソース不足へ の対応策)」 ビジネスホワイトペーパー 9 ページ SOCの成熟化 SOCを成熟させるとは、特定のテクノロジーから、目標を重視して組織にとって最も重要な領域 を保護するための体系的な方法に従うことにフォーカスをシフトするということです。SOCで基 盤が固まったら、成熟化に着手できます。最適な成熟レベルは、HPEセキュリティ運用成熟度モ デル (SOMM) で説明されているレベル3 (十分に定義され、主観的に評価され、柔軟性がある) です。一部の領域は厳格かつ反復可能/測定可能にし、それ以外は柔軟性、俊敏性、適合性、機 動性に優れているようにします。過度に厳格な組織では、急速に変化する脅威環境にSOCが適応 できません。 成熟している組織は、現在の機能と可能性を評価してから、卓越性を追求するロードマップをま とめています。改善が行われたら、進 状況を測定するために、最新の評価を実施する必要があ ります。 一般的な成熟機会は次のとおりです。 • SOCでサポートするユースケース数を増やす 追加のユースケースをそれぞれビジネスニーズに 紐づけ、測定可能にする • 教育機会や昇進を通じて、従業員の定着率を高める • クローズドループ方式のインシデント調査/対応を実施し、SIEMと他のSOCプロセスにフィー ドバックする • 特にテクノロジー領域、運用領域、分析領域において、さらにプロセス定義を行う ビジネス BC/DR • ビジネス継続性プラン • ディザスタリカバリプラン プロセス改善 • 成熟度評価 • プロジェクト方法論 • プロジェクト方法論 コンプライアンス • 社内コンプライアンス • コンプライアンスサポート 測定基準 • KPIのレポート作成 • SIEMのパフォーマンス • 運用効率 運用面 イベント管理 • 選別 • コールアウト • ケース管理 • 危機対応 日常業務 • シフトスケジュール • 監視 • 問題と変更 • シフトの交代 • 日常業務のコール トレーニング • トレーニングプラン • スキル開発の追跡 図3: 分析面 テクノロジー • データ仮想化 • パターン分析 巧妙なイベントの検出 設計 • ユースケースの開発 • ユーザーと資産のモデリング レポート作成 • アナリストのコメント • インシデントの概要 • 脅威レポート 構成管理 • SIEMアーキテクチャー • データフィード統合 • FlexConnector開発 インシデント管理 • インシデント調査 • 集中監視 • インシデント対応 • アクセス管理 • メンテナンスとアップグレード システム管理 侵入分析 • イベント分析 • 脅威インテリジェンス • 情報の融合 SOCのプロセスと手順 どのセキュリティオペレーション組織も、成熟度と機能がそれぞれ異なります。自組織の有効性 を評価し、成熟度を高めるプランを作成するのは困難です。HPEセキュリティ運用成熟度アセス メントは、現在の成熟度の判断や、業界内や類似規模の他社との比較をサポートします。HPEセ キュリティ製品グローバルサービスのコンサルタントは、セキュリティオペレーションの構築と 分析に関する広範囲にわたる経験に基づき、戦術的な推奨事項を提示し、複数段階のロードマッ プを設計します。これにより、成熟した高機能のSOCを確立するという長期目標に向かって、機 能レベルを迅速に高めることができます。 HPE SOMMとHPEアセスメントの詳細はこちら: 「Security Operations Maturity Assessment (セキュリティ運用成熟度アセスメント)」 世界で最も成熟度が高いSOCの詳細はこちら: 「State of security operations (2016年のセキュリティ運用の状況)」 ビジネスホワイトペーパー 10 ページ SOCの高度な機能 成熟した組織は、分析主導型のインテリジェントなSOCの世界に移行できます。このようなイン テリジェントなSOCを有する企業は、既知の攻撃を検出して対応するだけでなく、未知の攻撃 や不正な挙動を特定することも可能になります。大量のデータを収集しても、それだけでは役に 立ちません。ビジネスニーズに合わせて成長するシステムを構築するためには、ガイドとなるビ ジョンやプランが必要です。 ビジネスニーズはあらゆる分析プログラムの促進力となります。分析プログラムのユースケース には、内部の脅威の特定、初期のマルウェア感染の検出、不適切なユーザーアクセスなどを含め ることができます。このようなユースケースへの対応に必要なデータだけを収集すれば、環境内 の不要な情報が減り、迅速に目標を達成できるようになります。既存の分析テクノロジーを活用 すれば、社内で必要となる専門知識が削減または排除され、最終的にコスト削減につながりま す。 組織は環境内の既存のツールを使用して、高度な分析機能からスタートできることがよくあ ります。分析機能を使用してスタートする方法については、「 Hunting today: Using your existing technology to hunt for cyber threats (即日追跡: 既存のテクノロジーを使用したサ イバーの脅威の追跡)」を参照してください。 適切な SIEM の選定と実装、そして強固な基盤により、この分析主導型のインテリジェントな SOCの世界にスムーズに移行できます。SOCの構築時に簡便な方法を利用したり、機能が制限さ れたSIEMテクノロジーを実装したりしていると、この機能レベルに達するために見直しが必要 になる場合があります。 新興 高度 目標 理解 基本的なコンテキスト • 資産、ネットワーク • アイデンティティ 高度なコンテキスト • アプリケーション • フローとDPI 技術インテリジェンス • マルウェアの爆発的増加 • IOC識別番号 人間の知性 • センチメント分析 • モチベーション 検討 アドホッククエリ • 小さなデータセット • 基本的な分析 高度な検索 • インジケーターリスト • ピボット検索 分析クエリ • ビッグデータ管理 • 分析データマート 可視化 • 探索的データ分析 説明 レポート作成 • 脅威 • コンプライアンス スコアリング • リスク忠実度 • プロファイリング データマイニング • クラスタリング、 アグリゲーション • アフィニティグループ 機械学習 • 分類 • その他のアルゴリズム 検出 リアルタイム • リアルタイムの相関付け • ログの集約 履歴分析 • 長期的な相関付け • 疫学 統計分析 • 分散型R • 標準偏差 行動的 • 内部脅威 • ベースライン 境界 既存 深さ=> 効果が高い 図4:検出と分析のビジョン サイバーセキュリティ分析の未来についての詳細はこちら: 「A vision for cyber security detection and analytics (サイバーセキュリティの検出と分析 の展望)」 攻撃ライフサイクルに関するHPEのユースケース手法の詳細はこちら: 「HPE Attack Life Cycle use case methodology (攻撃ライフサイクルに関するHPEのユース ケース手法)」 ビジネスホワイトペーパー 11 ページ まとめ: これからのSOC セキュリティオペレーション機能の構築と成熟化は、不正なセキュリティイベントを迅速に検出 して対応する組織の能力を大幅に高めます。スタッフ、プロセス、テクノロジーの範囲全体にわ たる課題に対応することで、SOCはビジネスに対するリスクを特定して緩和し、確実なビジネス 成長を可能にする役割まで果たすようになります。セキュリティオペレーションセンターの構築 を成功させるための手順を適切に踏めば、分析や追跡チームなどの高度なテクノロジーや機能を 備えることができるようになります。 詳細はこちら hpe.com/software/sioc ビジネスホワイトペーパー メールニュース配信登録 © Copyright 2016 Hewlett Packard Enterprise Development LP. 本書の内容は、将来予告なく変更されることがあります。 ヒューレット・パッカード エンタープライズ製品およびサービスに対する保証については、当該製品およびサービスの保証規定 書に記載されています。本書のいかなる内容も、新たな保証を追加するものではありません。本書の内容につきましては万全を 期しておりますが、本書中の技術的あるいは校正上の誤り、省略に対しては責任を負いかねますのでご了承ください。 4AA6-6440JPN、2016年7月
© Copyright 2024 ExpyDoc