連載
» 2022年04月22日 05時00分 公開

脆弱性、攻撃界面、脅威情報が膨大な今欠かせない「モダンSOC」とは――ゼロトラスト時代の可視化と分析働き方改革時代の「ゼロトラスト」セキュリティ(18)

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラスト時代の可視化と分析、モダンSOCについて解説する。

[仲上竜太,ニューリジェンセキュリティ]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 コロナ禍やデジタルトランスフォーメーション(DX)の推進といった急速なデジタルシフトにより、企業や組織では多くの業務や事業の基盤がデジタル化されています。

 自社のオフィスやデータセンター内に全てのデジタル資産が存在していた時代は既に終わり、働く場所の多様化や、クラウド利用の促進により、インターネット上のあらゆる場所に利用者やデータ、デバイスやシステムが拡散しています。

 今や企業の保有するデジタル資産は物理的に目に見えない範囲に急拡大し、その把握だけでも一苦労という状況です。また、近年の金銭を目的としたサイバー攻撃の一種であるランサムウェア攻撃の被害拡大の一因として、管理し切れていないデジタル資産に生じた脆弱(ぜいじゃく)性の問題もあり、情報システム管理者は今まで以上に難しい局面に立たされています。

 そんな中、広がるデジタルの利活用にネットワークそのものの信頼に依存しない「ゼロトラスト」は、現代の企業や組織が採用すべきセキュリティモデルとして定着し始めています。

 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載『働き方改革時代の「ゼロトラスト」セキュリティ』。前回までは、ゼロトラストを構成する「データ」「アイデンティティー」「ネットワーク」「デバイス」「システム(ワークロード)」の5つの柱について解説し、その達成度の判定方法として米国CISA(国家安全保障省サイバーセキュリティインフラストラクチャセキュリティエージェンシー)が示した「ゼロトラスト成熟度モデル」を紹介しました。

 今回は、これらの柱をつなぐ「可視化と分析」の持つ役割や、ゼロトラスト時代のSOCの在り方といえる「モダンSOC」について考えます。

これまでの可視化と分析の役割とゼロトラスト

 現在の主流である境界防御型セキュリティモデルでの多層防御における可視化と分析では、SIEM(Security Information and Event Management:セキュリティ情報、イベント管理)などを用いた監視インフラによるネットワーク機器の監視が中心でした。

 組織や企業では、セキュリティ機器の監視やアラート発生時の対処、機器のポリシー調整や状態管理を専門に行う組織を「SOC(セキュリティオペレーションセンター)」といい、組織内もしくは外部委託によって運用されています。

 SOCでは専門の分析官が24時間駐在し、組織ネットワークの外部からの不要な通信を遮断するファイアウォールや、内側から外側、外側から内側での攻撃通信内容を検知し遮断するIPS(Intrusion Protection System:不正侵入防止システム)、これらを合わせた統合脅威管理システム、UTM(Universal Threat Management)などのセキュリティ機器が生成するアラート情報を、監視インフラによって常時監視、分析しています。

 さらに、アラートの内容によっては、CSIRT(Computer Security Incident Response Team)と連携して脅威を封じ込めたり、被害の拡大を防止したりします。セキュリティ機器の監視とアラートの分析による即時の対応は、現在でも内部ネットワークを対象とした主要なサイバー脅威に対して非常に有効です。

 しかし、テレワークの常態化やクラウド利活用の増加によって、従来の内部ネットワークを対象とした監視インフラによるセキュリティ運用だけでは不足する状況が起こっています。

 そこで注目を集めたのがゼロトラストのセキュリティコンセプトでした。

 ゼロトラストでは、セキュリティ対策を物理的なネットワーク保護のみに依存せず、アイデンティティー、データ、デバイス、ネットワーク、システムの5つを柱としてセキュリティシステムを構築します。これらは、動的な認証と最小権限の原則に基づきソフトウェア的に制御されるネットワークで連携され、インターネット上に配置されたデータに対するセキュリティを実現します。

 さらに、サイバー脅威情報やさまざまなコンプライアンスを入力とした自動監査、属性を基にした動的な認証、認可によって、リアルタイムで変化し続ける脅威に対して常にセキュリティの有効性を保ち続けるのもゼロトラストの大きな特徴です。これらの特性から、ゼロトラストでは、一見すると従来必要とされた監視と分析の能力が不要になるかのように思われます。

 SIEMやSOAR(Security Orchestration, Automation and Response)といった自動化の機能を備えたセキュリティ運用システムによって自動化される部分は多々あるものの、可視化と分析そして監視と対処にとどまらないセキュリティオペレーションは、今後もゼロトラストを含んだデジタル資産全体の管理においてより重要な役割を果たします。

 昨今では、これらの能力を整理し、近代化したSOCという意味の「モダンSOC」という考え方が注目されつつあります。

プロアクティブ(未然防御)な「モダンSOC」の役割

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。