日本ヒューレット・パッカードは「State of Security Operations Report 2017(2017年版セキュリティ運用状況レポート)」を2月16日に発表した。180以上の指標で全世界で140近くのセキュリティ監視センター(SOC)をHewlett-Packard Enterprise(HPE)の“セキュリティ運用成熟度モデル(Security Operations Maturity Model:SOMM)”をベースに評価した。
SOMMモデルは、人員やプロセス、テクノロジ、業務能力など効果を上げている成熟したセキュリティインテリジェンスや監視能力の各要素に焦点を当てている。
5ポイントの尺度を用いており、ゼロはセキュリティ監視態勢がまったく存在しない状態を表し、「5」は一貫性と反復能力があり、文書化、測定、追跡、継続的な改善が行われているセキュリティ監視態勢を意味する。現代の企業にとって最適な総合成熟度スコアは「3」、マネージドセキュリティサービスプロバイダー(MSSP)は「3」と「4」の間の成熟度レベルを目指すことが期待される。
同レポートによると、前年に比べると3%改善しているが、依然として82%のSOCは評価基準を満たしておらず、最適な成熟度レベルを下回っているという。主な分析結果として、同レポートは以下のポイントを提示している。
ハントプログラムのみの実施はSOCの成熟度を低下:ハントチームは、未知の脅威を捜すために組織されたチームだが、既存のリアルタイムモニタリング体制にハントチームを追加した組織は成熟度レベルが向上するが、ハントチームに特化したプログラムは逆効果となった。
完全な自動化は非現実的な目標:自動化はセキュリティ対策の効果を上げるものだが、高度な脅威は今なお人間による調査を必要とし、リスク調査には人間の推理が必要。組織は自動化と人員配置のバランスをとることが不可欠。
フォーカスと目標が組織規模よりも重要:ビジネス規模とそのサイバー対策センターの成熟度の間に関連は見られなかった。他社との競争上の差別化手段としてセキュリティを利用している組織はSOCの成熟度の面で優れている。
ハイブリッドなソリューションと人員配置モデルはセキュリティ能力を強化:MSSPを活用した外部委託または社内組織との併用など、外部リソースによる拡張を行う組織は、成熟度が高くスキルギャップに対処することができる。
これらの分析結果を受け、同レポートでは、ハントチームなどの新手法を活用する前にリスク特定、インシデント検知、レスポンスの基礎をマスターすることを推奨している。組織のリスク管理目標、セキュリティ目標、コンプライアンス目標を定期に評価し、セキュリティ戦略の立案とリソース配分の決定に役立てることも重要だとした。
セキュリティ対策のアウトソーシングについては、社内リソースとMSSPの両方を活用し、ハイブリッドな人員配置もしくは運用戦略の採用を検討すべきだとした。
