セキュリティソリューション導入 / 
運用支援 / 監視サービス
コラム

SIEMの進化と高度な分析機能

SIEM（Security Information and Event Management）は、様々なセキュリティ機器やシステムからログを収集・分析し、セキュリティインシデントを検知する基盤となる技術です。近年のSIEMは、機械学習などのAI技術を活用した高度な分析機能を搭載し、より迅速かつ正確なインシデント検知を実現しています。また、クラウド環境に対応したSIEMも登場しており、企業の多様なシステム環境に対応できるようになっています。

Threat Intelligenceの活用と高度化

Threat Intelligenceは、サイバー攻撃に関する最新の情報や攻撃者の手口、脆弱性情報などを収集・分析し、企業のセキュリティ対策に役立てる知見等の情報です。

SOCにおいては、Threat Intelligenceを活用することで攻撃を未然に防ぎ、インシデント発生時により迅速な対応ができるようになりました。近年では、様々な情報源からThreat Intelligenceを収集・分析し、より高度な情報を提供するサービスも登場しています。

SOCの自動化

省力化や対応時間の短縮のためにSOCの自動化が進んでおり、それら自動化を担う仕組みをSOAR（Security Orchestration, Automation and Response）と呼びます。

SOCにおいては、SOARの導入により、インシデント発生時には、複数のセキュリティ機器の設定を自動的に変更することで、担当者の負担を軽減し、より迅速で正確な初動対応を取ることができるようになりました。

脅威情報の標準化と共有

各企業が保有する脅威情報を共有するために、サイバー脅威に関する情報の標準化が進み、SOCではこれらの脅威情報を活用することで、Threat Intelligenceの共有や、セキュリティ機器間の連携が円滑になりました。

以下はSOCでよく使用する脅威情報の標準化の例です。

インシデントレスポンスの自動化と効率化

インシデント発生時、CSIRTは迅速かつ的確な対応を行う必要がありますが、SOC同様にインシデントレスポンスの自動化と効率化が重要な課題となっています。

近年では、CSIRTでもSOAR（Security Orchestration, Automation and Response）などのツールを活用し、インシデントの検知から初動対応、復旧作業までを自動化する動きが広がっています。これにより、CSIRT担当者の負担を軽減し、より迅速な対応を実現することが可能になります。

Threat Intelligenceを活用したインシデント分析

SOCだけでなくCSIRTにおいてもThreat Intelligenceを活用することで、インシデント発生時の分析を迅速化し、より的確な対応策を策定することが可能になります。また、過去のインシデント事例や攻撃者のプロファイルなどを分析することで、将来の攻撃を予測し、予防的な対策を講じることもできるようになりました。

脆弱性管理の高度化

脆弱性管理は、システムやソフトウェアに存在するセキュリティ上の脆弱性を早期に発見し、修正するプロセスです。

CSIRTにおいては、脆弱性管理を高度化することで、攻撃者が悪用する可能性のある脆弱性を減らし、インシデント発生のリスクを低減しています。近年では、脆弱性スキャンツールやペネトレーションテストなどを活用し、より網羅的かつ効率的な脆弱性管理を行うことが求められています。

クラウド環境への対応

近年のクラウドサービスの利用の拡大により、クラウド環境におけるセキュリティ対策が重要になってきました。クラウド環境のセキュリティ対策にはオンプレミス環境とは異なる課題があります。CSIRTは、クラウド提供事業者と連携し、クラウド環境におけるセキュリティ監視やインシデント対応体制を構築する必要があります。また、クラウド環境に特有の脅威や脆弱性に対応するための専門的な知識やスキルを持つ人材の育成も重要です。

サプライチェーンセキュリティの強化

取引先の脆弱性を悪用して攻撃を仕掛けるサプライチェーン攻撃の対応には自社のCSIRTだけでなく、サプライチェーン全体のセキュリティ対策を強化する必要があります。そのため、取引先との情報共有や連携体制を構築し、定期的なセキュリティ監査や脆弱性診断を実施することが一般的な考え方になってきました。

SOCにおける人材教育

SOCは、24時間365日体制で組織のセキュリティを監視し、サイバー攻撃の兆候を早期に発見する役割を担います。そのため、SOC担当者には、高度な技術スキルだけでなく、幅広い知識や経験が求められます。

・技術スキル：ネットワーク、OS、セキュリティ機器に関する知識、マルウェア分析やフォレンジック調査のスキル
・知識：サイバー攻撃の手口や最新の脅威に関する知識、セキュリティに関する法規制やガイドラインに関する知識
・経験：インシデント対応や脆弱性管理の経験があると、より実践的な対応が可能。

企業は、SOC担当者に対し定期的な研修やOJT（On-the-Job Training）などを実施し、これらのスキルや知識、経験を習得させる必要があります。また、外部のセキュリティベンダーが提供するトレーニングや資格取得支援なども有効です。

CSIRTにおける人材教育

CSIRTは、インシデント発生時に、被害の最小化と迅速な復旧を図るための専門チームです。CSIRT担当者には、インシデント対応計画の策定や、関係機関との連携など、高度なコミュニケーション能力やリーダーシップが求められます。

・コミュニケーション能力：インシデント発生時の状況を的確に把握し、関係者に適切に情報を伝達する能力
・リーダーシップ：インシデント対応チームを指揮し、関係者をまとめて、迅速な復旧作業を推進する能力
・専門知識：インシデント対応の手順や、関連する法規制に関する知識

CSIRT担当者に対し、定期的な訓練やワークショップなどを実施することで、これらの能力を向上させる必要があります。情報処理安全確保支援士等のセキュリティ資格の取得を奨励することは、CSIRT担当者の知識向上や使命感を持つことに繋がります。

訓練の重要性

人材教育と並行して、定期的な訓練を実施することも重要です。訓練を通じて、担当者個人のインスデント対応能力を向上させ、チームワークを強化し連携をスムーズにする効果があります。訓練は、机上訓練だけでなく、実際にシステムやネットワークを使って行う実践的な訓練を取り入れることが望ましいです。

・机上訓練：インシデント発生時の対応手順や役割分担などを確認する訓練
・実践訓練：実際にシステムやネットワークを使って、インシデント対応を模擬的に行う訓練