適切なセキュリティ運用に必須となるSOC
その設置が難しい場合に考えるべきこと
セキュリティ確保には人による適切な対応が不可欠
サイバー攻撃は常に進化を続けています。攻撃者は気付かれないようにターゲットへとアプローチし、マルウェアを送り込んで感染させたり、情報の摂取を実行します。またランサムウェアを使った攻撃では、密かにマルウェアに感染させデータを暗号化した上で、ある日突然身代金を要求してきます。マルウェアそのものも進化を続けており、近年ではアンチウイルス製品に検知されるファイルを用いず、メモリ上だけに展開される「ファイルレスマルウェア」の利用も増えています。
もちろんセキュリティ製品も、攻撃の高度化・複雑化を追いかけるように、進化を続けています。近年ではインシデントの検知を確実に行うために、ログの集中管理を可能にする「SIEM(Security Information and Event Management)」の利用が広がっており、このコラムでも何度か取り上げた「EDR(Endpoint Detection and Response)」によって、エンドポイントの常時監視やインシデントへの迅速な対処、事後の調査なども容易になりました。またアンチウイルスの主要製品も、既知のマルウェアしか検知できないシグニチャベースのものから、機械学習などを活用してプログラムの行動パターンからマルウェアを検知する、次世代アンチウイルス(NGAV:Next Generation Anti-Virus)へとシフトしています。
それでもサイバー攻撃の被害は、現在も決して少なくありません。むしろ以前よりも増大傾向にあります。それは何故でしょうか。最も大きな要因は、見逃されてしまう攻撃が常に存在するからです。SIEMやEDR、NGAVといったセキュリティ製品を導入しても、それを適切に運用しなければ十分な効果を得ることはできません。もれなくログ収集を行い、インシデントでアラートが発せられても、それらに適切に対応する人間がいなければ意味がないのです。
また仮に、EDRやNGAVなどの最先端技術をフル活用してインシデントへの対応を完璧に自動化できたとしても、それが明日の攻撃にも有効であるとは限りません。攻撃者は常に「ターゲットに気付かれずにアプローチする方法」を模索しており、現時点での防御の裏をかく攻撃手法も、いずれは編みだされることになるからです。
SOCに必要な人的リソースを肩代わりするMDR
つまりどのような最新テクノロジーやソリューションを導入しても、そのポテンシャルを引き出すのはあくまでも人間である、ということです。そこで必要になるのが「SOC(Security Operational Center)」という組織の設置です。その基本的な役割は、システム全体を常時監視し、攻撃を受けたことをいち早く発見した上で、必要な対処を迅速に実行することです。またユーザーからの問い合わせや報告に対応することも、重要な職務となります。そしてもちろん、各種セキュリティ製品を適切に設定し、セキュリティ運用の自動化・効率化を進めていくことも求められます。既知の攻撃に対する備えを固めておくことで、未知の攻撃への対処を行う余裕が生まれるからです。
しかし十分な人的リソースを持つ大企業であればいざしらず、セキュリティ人材が不足している多くの企業にとって、SOCを設置することは簡単ではありません。
24時間365日の監視を行うには、十分な訓練を受けたスタッフを3交代制で常駐させる必要があります。そのための人件費がかさむ上、少子高齢化が進み生産人口が減少している日本では、そもそも人員を確保することすら困難です。またセキュリティに関するそれなりの知識を持つ人員が確保できたとしても、高度化・複雑化しているセキュリティ製品を使いこなせるようになるには、かなりの育成コストがかかります。しかもこれが1回で終わるわけではありません。サイバー攻撃は日々進化を続けているため、それにキャッチアップするための継続的な教育も必要なのです。
このような課題に対応するために登場したのが「MDR(Managed Detection and Response)」です。これは、セキュリティ機器の適切な設定や24時間365日の監視、ログの収集や分析、インシデント発生時の初期対応など、本来であればSOCが行うべき業務を代行するサービスです。またインシデントが発生した場合には、その事実をユーザー企業の担当者に通知すると共に、対処方法に関するアドバイスも行います。つまりSOCに求められるセキュリティ専門家をアウトソースできるのです。
そこでご提案したいのが、EDRの概念をいち早く製品化し、全世界で20,000社を超える導入実績があるVMware Carbon Black Cloud(以降、Carbon Black)とMDRサービスの組み合わせです。Carbon Blackは、NGAV とEDRを併せ持ち、独自のストリーミング解析技術により、高度な攻撃も検知し、もしもの際には脅威の防御や隔離、感染範囲の確認などが行えます。これに当社で多くの導入実績を持つMDRサービスを組み合わせることで、24時間365日対応や海外拠点を含めた監視など、お客様ニーズにあわせた運用も可能です。社内にSOCを設置するのが難しいと感じているのであれば、ぜひ一度当社にご相談ください。
VMware Carbon Black Cloud Endpoint Standardとは
VMware Carbon Black Cloud Endpoint Standard(旧CB Defense、以下Endpoint Standard)は、あらゆるサイバー攻撃からコンピューターを保護する次世代アンチウイルス+EDRソリューションです。マルウェア攻撃だけでなく、メモリやPowerShellなどスクリプト言語を悪用する非マルウェア(ファイルレス)攻撃などをブロックするとともに、万一の際にも侵入状況の把握やその対応を行うことができます。
詳しくはこちら
様々な企業が「VMware Carbon Black Cloud」を活用しています
株式会社ユーシン精機様
運用負荷をかけることなく、24時間365日エンドポイントセキュリティ強化を実現
スマートニュース株式会社様
脅威を分かりやすく可視化 運用も容易な次世代アンチウイルス+EDRを選択
HRBrain様
CB Defense導入の決め手になったのは、「Mac対応」と「EDR」が次世代アンチウイルスに統合されていた点
NTTスマイルエナジー様
CB Defenseの導入で「マルウェア等の最新の脅威から守られているという安心感」を得ることができた
サイバネットシステム株式会社 ITソリューション事業部 - カテゴリ別
- 製品別
- ソリューション別