過酷なセキュリティ最前線に運用担当はもう限界?! 期待されるSIEM、SOARは本当に助けとなれるのか?

手口が高度化していくサイバー攻撃、その標的には日本の組織も含まれることは言うまでもない。しかし日本の多くの組織では、セキュリティ運用の現場が非常に厳しい状況にある。現在ではSIEMやSOARといったソリューションに期待する向きもあるが、果たしてそれらはどれほど期待できるのか。そして、有効活用するにはどのような姿勢で臨むべきか。

疲弊しつつあるセキュリティ運用最前線
その改善にはSIEMやSOARが期待されるが

 「○○さん、今日体調悪そうですが、大丈夫ですか…?」「いや、実はインシデントが多発していて、今週まだ家に帰れていないんですよ…。」

 これは、マクニカネットワークス藤邉氏が、SOARを検討している企業に訪問した時に、実際に交わされた会話だ。

 近年、多くの組織で情報セキュリティ運用の現場が疲弊している。その理由として一番に上がるのは人材不足だろう。インシデントの監視・分析・対応にはセキュリティに精通したエキスパートの存在が欠かせないが、そうしたIT人材は企業の中でも希少な存在だ。サイバー攻撃が激化する中、彼らは日々その対処に追われている。

 しかも、その少数の人材が扱うべきセキュリティソリューションは非常に多く、収集すべき情報も膨大だ。サイバー攻撃とサイバーセキュリティは「いたちごっこ」の状態で、新たな手口を繰り出してくる攻撃者に対し、セキュリティエンジニアたちは常に知識をアップデートし続けて対抗している。こういった状況が続くようであれば、現場は疲弊するばかりか、対応も後手に回ってしまいかねない。

 こうしたセキュリティ運用の課題を改善する策としてSIEM(Security Information and Event Management)を導入する企業は増えてはいるものの、まだまだ有効活用ができていないのが現状だ。更に最近では、SIEMに加え運用を自動化するSOAR(Security Orchestration, Automation and Response)も登場しており、より一層の効率化や対応の迅速化などにつながると期待される。

重要なのは、自社のスキル・キャパシティの理解
セキュリティ運用の鍵を握るSIEMの実態とは?

 セキュリティ運用の現状について、SIEMとして広く活用されているマシンデータ分析プラットフォームのSplunkを2009年から取り扱い、導入実績やノウハウを豊富に持っているマクニカネットワークス株式会社に話を聞いた。同社 第3営業統括部 Splunk営業部 第3課でSOAR製品のSplunk Phantomのプロダクトマネージャーを務める藤邉治樹氏は、以下のように語る。

マクニカネットワークス株式会社
第3営業統括部
Splunk営業部
第3課
藤邉治樹氏
マクニカネットワークス株式会社
第3営業統括部 Splunk営業部 第3課
藤邉治樹氏

 「多くの企業におけるセキュリティ運用の現状は、ログを集約し、基本的な監視を行っている状況ですが、どの企業も右上の高度なセキュリティ運用の実現を目指して活動しています。※図1参照

 ただ、現状うまくいっていない企業が大半です。高度なセキュリティ運用を実現するためには、検知・調査いずれにおいても、日々変わりゆく攻撃に備え、常にアップデートしていく必要があるということを認識する必要があります。」

 なぜ高度なセキュリティ運用を実現できないのか、藤邉氏はセキュリティ運用の鍵を握るSIEMに対する過度な期待が、現場を惑わしていると語る。

 「ログの相関分析により未知の攻撃も検知できるようになる、と期待してSIEMを導入する企業は増えています。しかし、SIEMは未知の脅威を都合よく検知してくれるわけではないのです。グレーなイベントをあぶりだす形になり、基本的にはアラート数は大量に増加します。その中に未知の脅威が含まれている可能性はありますが、そのアラートを調査するための運用負荷を見据えておかないと、結局SIEMを有効活用できない、という事態が起こりうるのです。

 更に今後もセキュリティセンサーのような新しいソリューションの導入や脅威インテリジェンスの活用が進むことでしょう。当然それらの運用スキルをキャッチアップする必要がありますし、更にアラート数は増えることになります。そうなると、運用負荷は増える一方なのです。

 その点を理解した上で、高度なセキュリティ運用を実現するために、自社がどのような選択肢を取るべきかを検討する必要があります。」

図版1 図版1
※クリックすると拡大画像が見られます

 セキュリティ運用の選択肢としては、大きく2つに分かれる。アウトソースと自社運用だ。

 アウトソースは、前述の通り日々高まる脅威から自社を守るためのスキル、キャパシティが足りていない企業が取るべき選択肢となる。セキュリティという専門的な分野においては、プロに任せてしまうというのは一つの選択肢としては有用な手段だ。特にセキュリティ運用の鍵を握るSIEMの運用は難しいという声が多く、正しく機能させるには様々なセキュリティに関する知見が必要になり、脅威の顕在化から対処までを適切に完結するスキルを持っている必要がある。

 もう1つは自社運用だ。図1の高度なセキュリティ運用を継続的に実現するためのスキル、キャパシティを持ち合わせている企業は、自社で運用することが望ましい。またセキュリティ運用を自社で対応することで社会的な信用にもつながり、ビジネスにも良い影響を与えるだろう。

セキュリティ運用を高度化させる様々な選択肢
アウトソース、SOAR、コンサルティング

 企業の状況は様々であるが、マクニカネットワークスでは各企業に応じた選択肢を用意していると言う。

 「アウトソース、自社運用どちらを選択される場合でも、弊社は支援が可能です。お客様の状況や課題に合わせ、運用監視サービス、SOAR、セキュリティコンサルティング等、セキュリティ運用の高度化に貢献できる、あらゆる選択肢を用意しています。」

図版2 図版2
※クリックすると拡大画像が見られます

 その中でも今注目を集めているのが、2019年にリリースされたSIEM運用監視サービスだ。

 2009年からSplunkを取り扱っているマクニカネットワークスが、なぜこのタイミングで監視サービスをリリースしたのか、その理由を聞いた。

 「多くのマネージドセキュリティサービス(MSS)は事業者がSIEMを保有し運用する形態となっていますが、データ活用の機会損失を懸念する声が多く聞かれたのです。せっかくログ・データを集めたにもかかわらず、ログはアウトソース先に預けてしまうためお客様は自由に利用することができません。

 例えば、サービス範囲外のインシデント時の調査において、ログ基盤がない、ということが起こりうる。Proxyのように、セキュリティ以外にNW管理、監査で活用できるにも関わらずそのような用途で見ることができないのです。Data Drivenといわれる世の中で、データの利活用の環境がお客様にない、というのは非常に大きな機会損失だと考えています。」

 ユーザー側にログ分析の基盤を置き、SOCの運用部分だけをアウトソースするという形態だ。アウトソースを選択する場合においても、基盤が自社にあることであらゆる活用方法を実現し、スキルの空洞化を防ぐことが可能になるだろう。

万全なセキュリティ運用体制の上に
SOARを活用することで見えてくる未来

 自社でセキュリティ運用体制を万全にしてはいるものの、増え続ける脅威に対し、目の前の対応で四苦八苦している企業もある。そういった企業は、SOARによる自動化が視野に入ってくる。

 Splunk社は2018年、SOARソリューションを手掛けるPhantom社を買収し、現在では「Splunk Phantom」として提供している。この買収を受け、Splunkの販売代理店であるマクニカネットワークスも、すぐにSplunk Phantomの取り扱いを開始したという。

 「人材不足に悩む日本のセキュリティ運用において、業務効率化を実現するSOARは非常に有用であると考え、いち早く拡販体制を整えました。弊社では、既に複数社へ導入し、日本語保守サポートの体制も整えています。SOARは、運用の自動化による工数削減、レスポンススピードの向上、運用の正確性という点にも寄与することが可能ですし、更には、1つのインシデントに対する対応履歴や方針の可視化も可能なことから、セキュリティ運用のプラットフォームとして高い評価を得ています。」(藤邉氏)

 SOARは一見魔法のようなツールに思えるが、SOARさえ導入すれば誰もが簡単にセキュリティ運用を効率化できるかというと、一筋縄ではいかないのが現状だ。然るべきSTEPを踏まなければ宝の持ち腐れになるリスクも持ち合わせている。

 例えば導入の際にポイントになってくるのが、どの業務を自動化するのか、という点だ。自動化適用範囲を決めていく上で、自社の業務棚卸ができていないと、次のSTEPに進むことはできない。

 「SOARを検討するのは、自社でSOC,CSIRTを運用する大手企業、またはMSSを提供する事業者が大半を占めますが、そういった企業でも業務が属人化されており、業務棚卸が思うように進んでいかないのです。」(藤邉氏)

 マクニカネットワークスは、製品に関する情報提供はもちろんのこと、SOARを有効活用するために、現行プロセスの棚卸~ROIシュミレーション~導入プラン案作成までを一気通貫で代行する自動化アセスメントサービスも用意している。

 導入検討~運用まで、蓄積されたナレッジやサービスを提供し、企業のSOAR有効活用のための支援をすることが可能だ。

 一筋縄では行かなそうなSOAR導入だが、マクニカネットワークスの支援を受けながら、然るべきSTEPを踏むことで、絶大な効果を期待できる。長きに渡って安心できるセキュリティ運用の組織作りに貢献することができるだろう。

 「セキュリティ運用の現場は、これからも更に厳しい状況が続くでしょう。当社では、各企業の現状に合わせ、様々な選択肢を提案することが可能です。これまでSIEMやSOARを提案する中で、色んな課題を伺ってきましたが、我々が重視しているのは、お客様の課題を知り、その課題を解決するための製品やサービスを提案する、という点です。

 これからも、セキュリティ運用の現場を救えるような存在でありたいと思っていますので、まずはお気軽にご相談いただければと考えています。」(藤邉氏)

関連ホワイトペーパー

関連リンク

提供:マクニカネットワークス株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2020年7月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]