エンリッチメント、脅威ハンティング、UEBA、XDR――「ゼロトラストの司令塔」となる「モダンSOC」の役割、イベントログの活用:働き方改革時代の「ゼロトラスト」セキュリティ(19)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、イベントログの活用を中心に「モダンSOC」の役割について解説する。
ゼロトラストの考え方やコンセプトに沿ったセキュリティシステムの構築は、コロナ禍やデジタルトランスフォーメーション(DX)をきっかけとして、多くの企業や組織で取り組まれるようになりました。
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする本連載、『働き方改革時代の「ゼロトラスト」セキュリティ』。前回は、ゼロトラスト時代のSOC=セキュリティオペレーションセンターの姿である「モダンSOC」について紹介しました。今のサイバー攻撃の多くで起点となっているデジタル資産の脆弱(ぜいじゃく)性への対処を中心とした「アクティブディフェンス」「サイバーハイジーン」といった考え方を解説しました。今回はモダンSOCの主目的「ゼロトラストの司令塔」としての役割について解説します。
セキュリティ機能とログが複雑に絡み合うゼロトラストの現状
テレワークの常態化やパブリッククラウドの利用推進などDXとコロナ禍によって大きく変化したデジタルの活用は、セキュリティによって保護すべき対象に大きな広がりをもたらしました。結果として、多くの企業がゼロトラストや、それに類する考え方に基づいてセキュリティシステムの構築を検討するきっかけとなりました。
これまでの連載で紹介したようにゼロトラストはあくまでコンセプトや考え方です。そのコンセプトを利用した企業や組織の守るべき資産や働き方に合ったセキュリティシステムの構築が求められます。セキュリティベンダーからも、ID管理やデバイスセキュリティ、ネットワークセキュリティやクラウドセキュリティといった機能やサービスが、ゼロトラスト対応ソリューションとして提供されています。
ゼロトラストなセキュリティシステムの構築では、クラウド化されたID基盤によるアイデンティティー(ID)の管理を中心に、データを保有するシステムの認証、認可との接続やモニタリング、デバイスやネットワークの常態の検証、脅威情報の活用、AIによる状態の分析や不正の検知など、組織や企業が求める機能やレベルを満たすセキュリティ機能を持った製品やサービスを組み合わせて実現します。
その際、システムに組み込まれたそれぞれのセキュリティ製品やサービスは、その動作に応じたイベントログをそれぞれに出力します。システム上で利用者が行った何らかの操作は、デバイス上で行った操作の一つ一つに始まり、ネットワークアクセス、システムやサービスへの認証記録、「どのようなデータ操作が行われたか」など、企業や組織のシステム上で行われる全ての活動が記録され、イベントログとして保存されます。イベントログはセキュリティ製品やサービスごとに個別のフォーマットで記録され、膨大に発生し続けます。
現在のSOCにおける一般的なセキュリティ監視では、セキュリティ製品の攻撃防御機能が動作した結果であるアラートログを中心に侵害の事実の判定と対処が中心となっています。ネットワーク内に設置されたセキュリティ製品が発するアラートログの深刻度を専門的知見から分析し、アラートが示すサイバー攻撃の影響を特定。可能な限り迅速な対応開始によって、サイバー攻撃被害の最小化を試みます。
これらの対応をより迅速かつ正確にするために、セキュリティ製品が持つ検知シグネチャルールの運用や開発、世界中で刻々と変化するサイバー脅威情報の調査と研究がセキュリティ監視を中心としたSOCの主要な活動といえます。
ゼロトラストに基づいて構築されたセキュリティシステムの運用を前提としたモダンSOCの考え方においては、前回解説したアクティブディフェンスやサイバーハイジーンの維持に加え、セキュリティ製品やサービスなどのイベントログから動的に導き出されるサイバー脅威リスクの検出と対処も併せてSOCの機能として期待されます。
モダンSOCにおけるイベントログの活用
モダンSOCでは、ゼロトラストによるセキュリティシステムから得られるイベントログを活用し、これまで単体のセキュリティ製品による検知に依存していたサイバー脅威の発見、検出を、システム全体を通したユーザーやデバイスの振る舞いからも行えるようになります。そのためには、大量に発生するイベントログから効率的にサイバー攻撃の痕跡を見つけ出す仕組みが必要となります。
セキュリティ製品ごとに異なる多様かつ大量のイベントログの集約と分析には、ログ分析基盤SIEM(Security Information and Event Management:セキュリティ情報とイベント管理)の活用が欠かせません。ゼロトラストによってログ分析のニーズが高まる昨今では、ビッグデータ分析の技術を用いたSIEMや、機械学習による自動分析機能を備えたSIEMの活用が進んでいます。
セキュリティベンダーであるラックとゼロトラストのコンセプトに基づくセキュリティ機能を「Microsoft 365」のビルトインセキュリティとして提供するMicrosoftが2021年に共同で発行した「ゼロトラスト時代のSOC構築と運用ガイドライン」では、モダンSOCの持つ機能を次のように挙げています。
- 衛生管理/脆弱性管理
- 脅威インテリジェンス
- 攻撃面管理
- エンリッチメント
- 脅威ハンティング
- UEBA(User and Entity Behavior Analytics:ユーザーエンティティの振る舞い分析)
- XDR(eXtended Detection and Response:拡張された検知と対処)
- SOAR(Security Orchestration, Automation and Response:セキュリティの統合および自動化と対処)
上記のうち、エンリッチメント、脅威ハンティング、UEBA、XDRはセキュリティ機器から得られるイベントログを活用するモダンSOCにおける重要な取り組みです。
エンリッチメント
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「Log4j」の脆弱性についてセキュリティリーダーが知っておくべきこと、すべきこと
「Log4j」の脆弱(ぜいじゃく)性がもたらすリスクを理解し、関連する潜在的な脅威から企業システムを保護するための対策を把握する。 - 日本の「ゼロトラストに向けた取り組み」は後れを取っている NRIセキュアテクノロジーズがセキュリティ実態調査の結果を発表
NRIセキュアテクノロジーズが実施した「情報セキュリティ実態調査」によると、日本は米国やオーストラリアに比べて、ゼロトラストセキュリティに向けたソリューションの導入で後れを取っていることが分かった。 - 日々増える「脆弱性」を何とかしたい企業に贈る、脆弱性管理を導入する前に検討すべき5ステップ
自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。最終回となる今回は、脆弱性管理を導入するための具体的なステップについて。