CSIRT構築の最前線

CSIRT構築の最前線--SOCをどのように活用するのか

岩本高明 2016年02月01日 10時44分

  • このエントリーをはてなブックマークに追加

 実効性のあるCSIRTを構築する上で必要となる3つのリソースのうち、第1回では、CSIRTに求められる「プロセス(業務)」、第2回では、CSIRTに求められる「人(組織体制と要員)」について解説した。最終回となる本稿では、CSIRTを支えるIT基盤として、特にセキュリティオペレーションセンター(Security Operation Center:SOC)について解説する。

SOCとは何か

 SOCとは何か。SOCとは、端的に言えば、組織で発生するセキュリティアラートを統合的に監視する部隊である。その目的のためにはIT基盤が必要であり、監視のためのセンサや分析エンジンを有する。

SOCの導入パターン

 まずSOCの導入方法だが、自社とアウトソースでまかなう範囲により、いくつかのパターンがある。

導入形態メリットデメリット/th>
オンプレ型
(自社SOC)
自社で監視装置を設置、運用・高度な監視(自社に応じたカスタマイズ)
・機密性の確保
・比較的高価
・SOC要員の調達
リモート型
(MSS)
SOCベンダーが監視装置を設置、運用・SOC運用の委託
・テンプレートを用いた短期・安価導入
・カスタマイズ困難
・現状把握が困難
ハイブリッド型自社で監視装置を設置、運用はSOCベンダー・高度監視とSOC運用性の両面を確保 ・対応可能なSOCベンダーはまだ少ない

 (注) MSS:Managed Security Serviceの略称

 事前の要件定義により、企業のビジネス要件や、保有する情報の質と量などに応じてリスクを検討した上で、導入形態を選択することが重要だ。

SOCの監視ソリューション

 SOCで用いられる代表的な装置装置としては以下が挙げられる。

監視装置 主な検知対象 主な分析方法
IPS 不正侵入検知システム トラフィック シグネチャーとの照合
NG-Firewall 次世代型ファイアウォール トラフィック 不正通信、挙動分析
SIEM製品 SIEM(統合ログ管理システム) ログ 各種デバイスログの相関分析

 ただし、SIEM(セキュリティ情報イベント管理)製品の中にはトラフィック解析機能を有する製品が登場するなど、これらの境目はあいまいになってきている点は付け加えておく。

 SOCを考える際には、これら監視装置のどのサービスやサービスが正解か、残念ながら決定打となるものがないのが現状と考える。不正なイベントを検知するために活用できる元データとしては、大きくはトラフィック(パケット)と各種デバイスが出力するログが存在する。

 この2つはそれぞれ長所と短所がありセキュリティを確保する上で補完関係にあるとも言えるため、企業は両面から分析手法を検討し、監視体制を構築することが望ましい。特に外部からの攻撃に加え、内部不正の監視も視野に入れる必要がある企業にとっては、SIEMのような手段が必要になってくるだろう。

 多様化するサイバー攻撃に対処していくためには、各製品やサービスの長所を組み合わせて、多層的な対策をとることが推奨される。

トラフィックとログの特徴

検知対象主な特徴
監視ポイント通信の向き分析期間主な分析手法主な分析対象
トラフィックゲートウェイ(定点監視)入口/出口短期挙動分析 パケット全体(データ部も含む)
ログ各種デバイス(多点監視)入口/内部/出口中長期傾向、相関分析ヘッダー情報

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

SpecialPR

連載

CIO
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
展望2017
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算