検索
連載

脆弱性、攻撃界面、脅威情報が膨大な今欠かせない「モダンSOC」とは――ゼロトラスト時代の可視化と分析働き方改革時代の「ゼロトラスト」セキュリティ(18)

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラスト時代の可視化と分析、モダンSOCについて解説する。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 コロナ禍やデジタルトランスフォーメーション(DX)の推進といった急速なデジタルシフトにより、企業や組織では多くの業務や事業の基盤がデジタル化されています。

 自社のオフィスやデータセンター内に全てのデジタル資産が存在していた時代は既に終わり、働く場所の多様化や、クラウド利用の促進により、インターネット上のあらゆる場所に利用者やデータ、デバイスやシステムが拡散しています。

 今や企業の保有するデジタル資産は物理的に目に見えない範囲に急拡大し、その把握だけでも一苦労という状況です。また、近年の金銭を目的としたサイバー攻撃の一種であるランサムウェア攻撃の被害拡大の一因として、管理し切れていないデジタル資産に生じた脆弱(ぜいじゃく)性の問題もあり、情報システム管理者は今まで以上に難しい局面に立たされています。

 そんな中、広がるデジタルの利活用にネットワークそのものの信頼に依存しない「ゼロトラスト」は、現代の企業や組織が採用すべきセキュリティモデルとして定着し始めています。

 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載『働き方改革時代の「ゼロトラスト」セキュリティ』。前回までは、ゼロトラストを構成する「データ」「アイデンティティー」「ネットワーク」「デバイス」「システム(ワークロード)」の5つの柱について解説し、その達成度の判定方法として米国CISA(国家安全保障省サイバーセキュリティインフラストラクチャセキュリティエージェンシー)が示した「ゼロトラスト成熟度モデル」を紹介しました。

 今回は、これらの柱をつなぐ「可視化と分析」の持つ役割や、ゼロトラスト時代のSOCの在り方といえる「モダンSOC」について考えます。

これまでの可視化と分析の役割とゼロトラスト

 現在の主流である境界防御型セキュリティモデルでの多層防御における可視化と分析では、SIEM(Security Information and Event Management:セキュリティ情報、イベント管理)などを用いた監視インフラによるネットワーク機器の監視が中心でした。

 組織や企業では、セキュリティ機器の監視やアラート発生時の対処、機器のポリシー調整や状態管理を専門に行う組織を「SOC(セキュリティオペレーションセンター)」といい、組織内もしくは外部委託によって運用されています。

 SOCでは専門の分析官が24時間駐在し、組織ネットワークの外部からの不要な通信を遮断するファイアウォールや、内側から外側、外側から内側での攻撃通信内容を検知し遮断するIPS(Intrusion Protection System:不正侵入防止システム)、これらを合わせた統合脅威管理システム、UTM(Universal Threat Management)などのセキュリティ機器が生成するアラート情報を、監視インフラによって常時監視、分析しています。

 さらに、アラートの内容によっては、CSIRT(Computer Security Incident Response Team)と連携して脅威を封じ込めたり、被害の拡大を防止したりします。セキュリティ機器の監視とアラートの分析による即時の対応は、現在でも内部ネットワークを対象とした主要なサイバー脅威に対して非常に有効です。

 しかし、テレワークの常態化やクラウド利活用の増加によって、従来の内部ネットワークを対象とした監視インフラによるセキュリティ運用だけでは不足する状況が起こっています。

 そこで注目を集めたのがゼロトラストのセキュリティコンセプトでした。

 ゼロトラストでは、セキュリティ対策を物理的なネットワーク保護のみに依存せず、アイデンティティー、データ、デバイス、ネットワーク、システムの5つを柱としてセキュリティシステムを構築します。これらは、動的な認証と最小権限の原則に基づきソフトウェア的に制御されるネットワークで連携され、インターネット上に配置されたデータに対するセキュリティを実現します。

 さらに、サイバー脅威情報やさまざまなコンプライアンスを入力とした自動監査、属性を基にした動的な認証、認可によって、リアルタイムで変化し続ける脅威に対して常にセキュリティの有効性を保ち続けるのもゼロトラストの大きな特徴です。これらの特性から、ゼロトラストでは、一見すると従来必要とされた監視と分析の能力が不要になるかのように思われます。

 SIEMやSOAR(Security Orchestration, Automation and Response)といった自動化の機能を備えたセキュリティ運用システムによって自動化される部分は多々あるものの、可視化と分析そして監視と対処にとどまらないセキュリティオペレーションは、今後もゼロトラストを含んだデジタル資産全体の管理においてより重要な役割を果たします。

 昨今では、これらの能力を整理し、近代化したSOCという意味の「モダンSOC」という考え方が注目されつつあります。

プロアクティブ(未然防御)な「モダンSOC」の役割

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  8. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  9. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  10. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
ページトップに戻る