CSIRT構築の最前線

CSIRT構築の最前線--SOCをどのように活用するのか

岩本高明 2016年02月01日 10時44分

  • このエントリーをはてなブックマークに追加

 実効性のあるCSIRTを構築する上で必要となる3つのリソースのうち、第1回では、CSIRTに求められる「プロセス(業務)」、第2回では、CSIRTに求められる「人(組織体制と要員)」について解説した。最終回となる本稿では、CSIRTを支えるIT基盤として、特にセキュリティオペレーションセンター(Security Operation Center:SOC)について解説する。

SOCとは何か

 SOCとは何か。SOCとは、端的に言えば、組織で発生するセキュリティアラートを統合的に監視する部隊である。その目的のためにはIT基盤が必要であり、監視のためのセンサや分析エンジンを有する。

SOCの導入パターン

 まずSOCの導入方法だが、自社とアウトソースでまかなう範囲により、いくつかのパターンがある。

導入形態メリットデメリット/th>
オンプレ型
(自社SOC)
自社で監視装置を設置、運用・高度な監視(自社に応じたカスタマイズ)
・機密性の確保
・比較的高価
・SOC要員の調達
リモート型
(MSS)
SOCベンダーが監視装置を設置、運用・SOC運用の委託
・テンプレートを用いた短期・安価導入
・カスタマイズ困難
・現状把握が困難
ハイブリッド型自社で監視装置を設置、運用はSOCベンダー・高度監視とSOC運用性の両面を確保 ・対応可能なSOCベンダーはまだ少ない

 (注) MSS:Managed Security Serviceの略称

 事前の要件定義により、企業のビジネス要件や、保有する情報の質と量などに応じてリスクを検討した上で、導入形態を選択することが重要だ。

SOCの監視ソリューション

 SOCで用いられる代表的な装置装置としては以下が挙げられる。

監視装置 主な検知対象 主な分析方法
IPS 不正侵入検知システム トラフィック シグネチャーとの照合
NG-Firewall 次世代型ファイアウォール トラフィック 不正通信、挙動分析
SIEM製品 SIEM(統合ログ管理システム) ログ 各種デバイスログの相関分析

 ただし、SIEM(セキュリティ情報イベント管理)製品の中にはトラフィック解析機能を有する製品が登場するなど、これらの境目はあいまいになってきている点は付け加えておく。

 SOCを考える際には、これら監視装置のどのサービスやサービスが正解か、残念ながら決定打となるものがないのが現状と考える。不正なイベントを検知するために活用できる元データとしては、大きくはトラフィック(パケット)と各種デバイスが出力するログが存在する。

 この2つはそれぞれ長所と短所がありセキュリティを確保する上で補完関係にあるとも言えるため、企業は両面から分析手法を検討し、監視体制を構築することが望ましい。特に外部からの攻撃に加え、内部不正の監視も視野に入れる必要がある企業にとっては、SIEMのような手段が必要になってくるだろう。

 多様化するサイバー攻撃に対処していくためには、各製品やサービスの長所を組み合わせて、多層的な対策をとることが推奨される。

トラフィックとログの特徴

検知対象主な特徴
監視ポイント通信の向き分析期間主な分析手法主な分析対象
トラフィックゲートウェイ(定点監視)入口/出口短期挙動分析 パケット全体(データ部も含む)
ログ各種デバイス(多点監視)入口/内部/出口中長期傾向、相関分析ヘッダー情報
  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化