実効性のあるCSIRTを構築する上で必要となる3つのリソースのうち、第1回では、CSIRTに求められる「プロセス(業務)」、第2回では、CSIRTに求められる「人(組織体制と要員)」について解説した。最終回となる本稿では、CSIRTを支えるIT基盤として、特にセキュリティオペレーションセンター(Security Operation Center:SOC)について解説する。
SOCとは何か
SOCとは何か。SOCとは、端的に言えば、組織で発生するセキュリティアラートを統合的に監視する部隊である。その目的のためにはIT基盤が必要であり、監視のためのセンサや分析エンジンを有する。
SOCの導入パターン
まずSOCの導入方法だが、自社とアウトソースでまかなう範囲により、いくつかのパターンがある。
導入形態 | メリット | デメリット | |
---|---|---|---|
オンプレ型 (自社SOC) | 自社で監視装置を設置、運用 | ・高度な監視(自社に応じたカスタマイズ) ・機密性の確保 | ・比較的高価 ・SOC要員の調達 |
リモート型 (MSS) | SOCベンダーが監視装置を設置、運用 | ・SOC運用の委託 ・テンプレートを用いた短期・安価導入 | ・カスタマイズ困難 ・現状把握が困難 |
ハイブリッド型 | 自社で監視装置を設置、運用はSOCベンダー | ・高度監視とSOC運用性の両面を確保 | ・対応可能なSOCベンダーはまだ少ない |
(注) MSS:Managed Security Serviceの略称
事前の要件定義により、企業のビジネス要件や、保有する情報の質と量などに応じてリスクを検討した上で、導入形態を選択することが重要だ。
SOCの監視ソリューション
SOCで用いられる代表的な装置装置としては以下が挙げられる。
監視装置 | 主な検知対象 | 主な分析方法 | |
---|---|---|---|
IPS | 不正侵入検知システム | トラフィック | シグネチャーとの照合 |
NG-Firewall | 次世代型ファイアウォール | トラフィック | 不正通信、挙動分析 |
SIEM製品 | SIEM(統合ログ管理システム) | ログ | 各種デバイスログの相関分析 |
ただし、SIEM(セキュリティ情報イベント管理)製品の中にはトラフィック解析機能を有する製品が登場するなど、これらの境目はあいまいになってきている点は付け加えておく。
SOCを考える際には、これら監視装置のどのサービスやサービスが正解か、残念ながら決定打となるものがないのが現状と考える。不正なイベントを検知するために活用できる元データとしては、大きくはトラフィック(パケット)と各種デバイスが出力するログが存在する。
この2つはそれぞれ長所と短所がありセキュリティを確保する上で補完関係にあるとも言えるため、企業は両面から分析手法を検討し、監視体制を構築することが望ましい。特に外部からの攻撃に加え、内部不正の監視も視野に入れる必要がある企業にとっては、SIEMのような手段が必要になってくるだろう。
多様化するサイバー攻撃に対処していくためには、各製品やサービスの長所を組み合わせて、多層的な対策をとることが推奨される。
トラフィックとログの特徴
検知対象 | 主な特徴 | ||||
監視ポイント | 通信の向き | 分析期間 | 主な分析手法 | 主な分析対象 | |
トラフィック | ゲートウェイ(定点監視) | 入口/出口 | 短期 | 挙動分析 | パケット全体(データ部も含む) |
ログ | 各種デバイス(多点監視) | 入口/内部/出口 | 中長期 | 傾向、相関分析 | ヘッダー情報 |