This post is also available in: English (英語)
私たちはこれまで世界中のセキュリティチームと協業してきました。そのなかには、セキュリティオペレーション(SecOps)がベストプラクティスにのってうまく行っているケースも、そうでないケースもありました。そこには実にさまざまなサイバーセキュリティ戦略・投資内容がありましたが、いずれにせよ言えることは、そうしたエンタープライズのセキュリティプログラムには、脅威の迅速確実な防止・特定・調査・軽減についてまだまだ改善の余地がある、ということです。たとえば、経験豊かなセキュリティオペレーションセンター(SOC)であっても、アラートの多さからくる疲労、人員の入れ替わり、複雑な手動プロセスといった問題に苦しんでいるケースは多いことでしょう。こうした問題はすべて、本来であれば調査やプロセス最適化に振り向けられたはずの貴重な時間を奪うものです。
では本当に意味のある改善にむけた最初の一歩とは何でしょうか。それは後ろに一歩さがって全体を眺めてみることです。そこから自社のセキュリティオペレーションがどのような構成なのか、そのオペレーションがビジネス上の目標にどう貢献しているのかを正直に評価することです。
以下に、効率的でスケーラブルなセキュリティオペレーション構築にあたって考慮すべきことを6つの柱としてまとめましたので参考にしてください。これらの柱にはそれぞれ、弊社のブックレット『Elements of Security Operations (セキュリティオペレーションの要素)』(ダウンロードリンクは一番下にあります) で詳しく説明した多くの構成要素が含まれています。これらの柱とその構成要素のそれぞれに対して自社のセキュリティオペレーションを評価すれば、現在のセキュリティ機能に欠けているものがなにかを確認し、自社のセキュリティオペレーションを進化させ、迅速でより優れた防止・修復を提供できるようになることでしょう。
1. ビジネス
セキュリティ オペレーションの要素に含まれる「ビジネス」の柱では、ビジネスにおけるセキュリティ オペレーション チームの意義と、その管理方法を明らかにします。そのためには、次のビジネス上の質問に答える必要があります。
- ミッション: 自分たちは何をするのか?
- 計画の策定: 自分たちはそれをどのように進めるのか?
- ガバナンス: 自分たちの活動をどのように管理するのか?
- スタッフの配置: それを誰が行う必要があるか?
- 施設: 自分たちはそれをどこで行うのか?
- 予算: そのためにはどれだけのコストがかかる見込みか?
- メトリック: それが効果を発揮していることをどのように確認するのか?
- レポートの作成: 活動をどのように追跡するのか、また、どのように最新情報を提供するのか?
- コラボレーション: どのようにビジネスの他の部門とコミュニケーションをとり、問題を追跡するのか?
2. 人材
セキュリティ オペレーションの要素の「人材」の柱では、セキュリティ オペレーション チームの目標を達成する責任者と、その管理方法を明らかにします。そのためには、次の質問に答える必要があります。
- どのようにスタッフを見つけ、その役割を果たせるようトレーニングを行うのか?
- スタッフの離職を防ぐために何をすべきか?
- どのようにスタッフの作業負荷を管理するのか?
- どのようにスタッフの行動の妥当性を確認して有効性を評価するのか?
3. 接点
「接点」の柱では、定めた目標を達成するために協力を要請する必要のある機能を明らかにします。セキュリティ オペレーションはサイロではないので、ビジネスを構成する他の多くの機能と連携する必要があります。そのやりとりの一つひとつが「接点」と表現されるものであり、グループ間の期待事項が明確になるよう定義しなければなりません。グループごとの目標と動機は異なるため、それを理解すれば、チーム同士のやりとりが円滑になります。また、責任の範囲と職務の分担をはっきりさせることでも、組織内の摩擦を抑えることができます。そのためには、次の質問に答える必要があります。
- 他にビジネスのどの機能がセキュリティ オペレーションに影響を及ぼすか?
- 他にビジネスのどの機能がセキュリティ オペレーションの影響を受けるのか?
- セキュリティ オペレーション チームはどのように他の機能と連携するのか?
- 責任の所在は誰にあるのか、また、文書化する必要のあるSLAはあるか?
- それらの接点はどのくらいの間隔で見直され、更新されるようにするのか?
4. 可視性
「可視性」の柱では、SecOps機能がアクセスする必要のある情報を明らかにします。それには、セキュリティとシステムのデータ、そして、コラボレーション ツールによるナレッジ管理コンテンツとコミュニケーションが含まれます。そこで、次の質問に答える必要があります。
- どのようなセキュリティ データが主に必要か?
- コンテキストに関するどのようなデータが必要か?
- どれくらいの頻度でそのデータを更新する必要があるか?
- どのようなナレッジ ベース情報にアクセスする必要があるか?
- セキュリティ オペレーション チームはどのようにSOC内の活動を確認するのか?
- 外部チームはどのようにSOC内の活動を確認するのか?
5. テクノロジ
「テクノロジ」の柱では、セキュリティ オペレーション組織で必要な情報に対する可視性を実現するために何が必要かを明らかにします。留意すべき重要なことは、各要素を異なるツールと捉えるのではなく、むしろ特定のテクノロジ スタックによって達成すべき能力と捉える必要があるという点です。テクノロジや機能は目まぐるしく変化しているため、これらがセキュリティ オペレーション チームにとって最も流動的な要素といえます。
業界ではサイロ化したツールが過剰に供給されており、広範囲に及ぶベンダーの管理や、限られた機能の利用、重複する機能、ときにはエンド ユーザーのパフォーマンスの低下といった、さまざまな課題につながっています。今や、「サイロ化されたツールの最善の組み合わせ」から、「各種ツールのインストールと保守を必要としない、SOCに求められる能力を提供するプラットフォーム」へと移行が進んでいます。この流れに対応するには、次の質問に答える必要があります。
- 必要な可視性を実現するにはどのような能力が必要か?
- それらの能力を得るためにどのようなテクノロジを利用するか?
- テクノロジのライセンスの取得、導入、保守の責任者は誰になるのか?
- テクノロジやコンテンツの更新を誰に要請して、誰が行うのか?
- どのような更新が自動的に、どれくらいの間隔で実施されるのか?
6. プロセス
セキュリティ オペレーションの要素に含まれる「プロセス」の柱では、特定されたミッションを達成するためにセキュリティ オペレーション組織が実行するプロセスと手順を明らかにします。そのためには、次のビジネス上の質問に答える必要があります。
- どのようなプロセスを定義する必要があるか?
- そのプロセスと手順はどこで文書化されるのか?
- その文書のアクセス方法や公開方法はどうするのか?
- そのドキュメントを最新の状態に保つ責任者は誰になるのか?
- プロセスはどのくらいの頻度で見直され、更新される必要があるか?
各柱の質問に答えたら、SecOps機能の改善をいつでも支援できる明確な概要が見えてくるはずです。より詳しくセキュリティ オペレーションの要素について掘り下げ、それぞれの目標について説明している『Elements of Security Operations (セキュリティオペレーションの要素)』のPDF版は、こちらからダウンロードできます。