エンリッチメント、脅威ハンティング、UEBA、XDR――「ゼロトラストの司令塔」となる「モダンSOC」の役割、イベントログの活用働き方改革時代の「ゼロトラスト」セキュリティ(19)

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、イベントログの活用を中心に「モダンSOC」の役割について解説する。

» 2022年05月27日 05時00分 公開
[仲上竜太ニューリジェンセキュリティ]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 ゼロトラストの考え方やコンセプトに沿ったセキュリティシステムの構築は、コロナ禍やデジタルトランスフォーメーション(DX)をきっかけとして、多くの企業や組織で取り組まれるようになりました。

 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載、『働き方改革時代の「ゼロトラスト」セキュリティ』。前回は、ゼロトラスト時代のSOC=セキュリティオペレーションセンターの姿である「モダンSOC」について紹介しました。今のサイバー攻撃の多くで起点となっているデジタル資産の脆弱(ぜいじゃく)性への対処を中心とした「アクティブディフェンス」「サイバーハイジーン」といった考え方を解説しました。今回はモダンSOCの主目的「ゼロトラストの司令塔」としての役割について解説します。

セキュリティ機能とログが複雑に絡み合うゼロトラストの現状

 テレワークの常態化やパブリッククラウドの利用推進などDXとコロナ禍によって大きく変化したデジタルの活用は、セキュリティによって保護すべき対象に大きな広がりをもたらしました。結果として、多くの企業がゼロトラストや、それに類する考え方に基づいてセキュリティシステムの構築を検討するきっかけとなりました。

 これまでの連載で紹介したようにゼロトラストはあくまでコンセプトや考え方です。そのコンセプトを利用した企業や組織の守るべき資産や働き方に合ったセキュリティシステムの構築が求められます。セキュリティベンダーからも、ID管理やデバイスセキュリティ、ネットワークセキュリティやクラウドセキュリティといった機能やサービスが、ゼロトラスト対応ソリューションとして提供されています。

 ゼロトラストなセキュリティシステムの構築では、クラウド化されたID基盤によるアイデンティティー(ID)の管理を中心に、データを保有するシステムの認証、認可との接続やモニタリング、デバイスやネットワークの常態の検証、脅威情報の活用、AIによる状態の分析や不正の検知など、組織や企業が求める機能やレベルを満たすセキュリティ機能を持った製品やサービスを組み合わせて実現します。

 その際、システムに組み込まれたそれぞれのセキュリティ製品やサービスは、その動作に応じたイベントログをそれぞれに出力します。システム上で利用者が行った何らかの操作は、デバイス上で行った操作の一つ一つに始まり、ネットワークアクセス、システムやサービスへの認証記録、「どのようなデータ操作が行われたか」など、企業や組織のシステム上で行われる全ての活動が記録され、イベントログとして保存されます。イベントログはセキュリティ製品やサービスごとに個別のフォーマットで記録され、膨大に発生し続けます。

 現在のSOCにおける一般的なセキュリティ監視では、セキュリティ製品の攻撃防御機能が動作した結果であるアラートログを中心に侵害の事実の判定と対処が中心となっています。ネットワーク内に設置されたセキュリティ製品が発するアラートログの深刻度を専門的知見から分析し、アラートが示すサイバー攻撃の影響を特定。可能な限り迅速な対応開始によって、サイバー攻撃被害の最小化を試みます。

 これらの対応をより迅速かつ正確にするために、セキュリティ製品が持つ検知シグネチャルールの運用や開発、世界中で刻々と変化するサイバー脅威情報の調査と研究がセキュリティ監視を中心としたSOCの主要な活動といえます。

 ゼロトラストに基づいて構築されたセキュリティシステムの運用を前提としたモダンSOCの考え方においては、前回解説したアクティブディフェンスやサイバーハイジーンの維持に加え、セキュリティ製品やサービスなどのイベントログから動的に導き出されるサイバー脅威リスクの検出と対処も併せてSOCの機能として期待されます。

モダンSOCにおけるイベントログの活用

 モダンSOCでは、ゼロトラストによるセキュリティシステムから得られるイベントログを活用し、これまで単体のセキュリティ製品による検知に依存していたサイバー脅威の発見、検出を、システム全体を通したユーザーやデバイスの振る舞いからも行えるようになります。そのためには、大量に発生するイベントログから効率的にサイバー攻撃の痕跡を見つけ出す仕組みが必要となります。

 セキュリティ製品ごとに異なる多様かつ大量のイベントログの集約と分析には、ログ分析基盤SIEM(Security Information and Event Management:セキュリティ情報とイベント管理)の活用が欠かせません。ゼロトラストによってログ分析のニーズが高まる昨今では、ビッグデータ分析の技術を用いたSIEMや、機械学習による自動分析機能を備えたSIEMの活用が進んでいます。

 セキュリティベンダーであるラックとゼロトラストのコンセプトに基づくセキュリティ機能を「Microsoft 365」のビルトインセキュリティとして提供するMicrosoftが2021年に共同で発行した「ゼロトラスト時代のSOC構築と運用ガイドライン」では、モダンSOCの持つ機能を次のように挙げています。

  • 衛生管理/脆弱性管理
  • 脅威インテリジェンス
  • 攻撃面管理
  • エンリッチメント
  • 脅威ハンティング
  • UEBA(User and Entity Behavior Analytics:ユーザーエンティティの振る舞い分析)
  • XDR(eXtended Detection and Response:拡張された検知と対処)
  • SOAR(Security Orchestration, Automation and Response:セキュリティの統合および自動化と対処)

 上記のうち、エンリッチメント、脅威ハンティング、UEBA、XDRはセキュリティ機器から得られるイベントログを活用するモダンSOCにおける重要な取り組みです。

エンリッチメント

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。