セキュリティ課題を打破するには「発想の転換」が必要 今求められるSOCの在り方:セキュリティのプロたちが鼎談
ITシステムが複雑化し、サイバー攻撃が巧妙化する今、セキュリティ対策としてSIEMが注目されている。しかし単にSIEMを導入すればインシデントを防げるというわけではない。セキュリティ人材も不足する中で、企業がSIEMを活用してサイバーレジリエンスを高めるにはどうすればいいのか。
後を絶たないセキュリティインシデント 対策に必要な発想とは
情報漏えいやデータ窃取、ランサムウェアによる金銭要求など、セキュリティインシデントの報告が後を絶たない。事故が起こるたびにIT部門やセキュリティ担当者は対策を強化している。それでも被害が減る傾向は見えない。
なぜセキュリティ事故は続くのか。背景の一つに挙げられるのが、システム環境の複雑化と運用の高度化だ。NTT DATAでシステム開発やセキュリティ運用を担うNTTデータ ニューソンの折原稔啓氏はこう話す。
「働き方の多様化と利用するITソリューションやサービスの多様化が進み、セキュリティの監視や運用が非常に高度になりました。中堅中小企業を中心に、多くの企業がセキュリティ対応を本来の業務と兼務しながら行っています。兼務しながら高度化するセキュリティ運用監視に対応するのは非常に困難です。構造的な人材不足への対応やスキル向上の難しさなどの課題もあります。新たな脅威に対抗するために新しいセキュリティ製品を導入しても、運用が追い付かないという状況です」
サイオステクノロジーの村田龍洋氏(DX Product & Integration Service Line エグゼクティブマネージャー)こうした防御側の事情だけでなく、サイバー攻撃自体の巧妙化も背景にある。ディストリビューターとして多くのセキュリティ製品を取り扱うサイオステクノロジーの村田龍洋氏はこう話す。
「攻撃が巧妙化し、既存のセキュリティ製品だけでは対抗できなくなっています。従来は、『攻撃をブロックするためにどのような対策が必要か』を考えるのが一般的でした。しかし、近年の攻撃は既存の防御策をすり抜けますから、攻撃を受けてしまった後にどう対応するかが重要です。IDの乗っ取りや内部不正などを利用して、正規のルートで攻撃する事例も増えています。内部に侵入した脅威を素早く見つけ、対処できる仕組みが必要です」
防御と攻撃、双方の在り方が変化する中で、セキュリティに対する考え方そのものを変える必要があると指摘するのが、エンタープライズ検索の技術を活用したセキュリティソリューションを展開するElasticsearchの石尾尚二郎氏だ。
「攻撃を水際で防ぐだけでなく、どこにでも脅威が潜んでいるという考え方への発想の転換が必要です。境界防御モデルからゼロトラストモデルへ切り替えることで、外部、内部の脅威に対抗します。組織内に潜む脅威や内部不正に対応するために、ユーザー、アセットやネットワークの全てのアクティビティーをトラッキングするような仕組みが必要です。企業活動の中でデータの価値が高まっている今、攻撃者からいかにデータを守っていくかも重要です」
注目集めるSIEM 活用には課題も
このような運用負荷の増大や人手不足、攻撃の高度化、従来セキュリティモデルの限界といった背景の下、解決策として提案されているのが「SIEM」(Security Information and Event Management)製品だ。
SIEMは、セキュリティに関連するシステムログやイベントログなどの情報を一元的に管理して相関分析などを行い、事故の発生をいち早く検知し、対処できるようにする。ファイアウォールやウイルス対策ソフト、IPS/IDS(不正侵入検知/防御システム)、EDR(Endpoint Detection and Response)などのデータを一元的に管理して分析することで、従来は気付かなかった脅威を効率良く見つけられる。
ただし、SIEM製品を導入したとしても、活用できるかどうかは別の問題だ。
SIEMはセキュリティの分析ツールだ。最近の製品では分析の自動化やインタフェースの容易化が進んでいるものの、素人がこうした機能に完全に頼り、自信を持って有益な結論を出すことは難しい。インシデントが発生したこと自体は把握できても、その内容を理解し、適切な優先度で有効な手だてをタイムリーに打つためには、セキュリティエキスパートの支援が必要だ。
ところが、そうしたセキュリティエキスパートが圧倒的に不足しており、多くの企業がこの問題に頭を抱えている。
サイバーレジリエンスを強化するSOC運用支援サービスとは
そうした現実的な悩みに対して、NTTデータ ニューソンは「プライベートSOC運用支援サービス」を提供する。
プライベートSOC運用支援サービスは、情報システムへの脅威の監視や分析などを行う専門組織であるSOC(セキュリティオペレーションセンター)を支援するサービスだ。顧客企業ごとに、各種セキュリティ装置やネットワーク機器、サーバの監視やログの分析、サイバー攻撃を受けた場合の影響範囲の特定、サイバー攻撃を阻止するためのセキュリティ対策の立案などを支援する。
NTTデータ ニューソンの折原稔啓氏(基盤サービス事業部 第二技術統括部 サイバーセキュリティ技術担当 課長)「お客さまが既に導入しているセキュリティ製品やSIEMを有効活用し、高い専門性が要求される情報セキュリティの脅威の監視や分析、セキュリティ製品の運用などをプロフェッショナルなセキュリティエンジニアが支援します。お客さまのCSIRT(セキュリティ組織)とも密に連携してサイバーレジリエンスの強化を図ります」(折原氏)
サービスとしては、「セキュリティアラート解析」「セキュリティ運用」「サポート窓口対応代行」「レポート業務」の4つを提供する。
セキュリティアラート解析は、アラートの調査をセキュリティアナリストが実施して、目標時間内に対応するサービスだ。セキュリティ運用は、ポリシーのチューニングやシグネチャの適用、設定の管理や変更をする。サポート窓口対応代行は、セキュリティに関する問合せの対応を代行する。レポート業務は、アラート発生件数や対応状況、傾向分析などをレポートにまとめ、週次、月次で報告する。
「経験豊富なセキュリティスペシャリストが、お客さまそれぞれの環境に合わせて支援できることが特徴です。既に導入中のセキュリティ製品をそのまま活用してプライベートSOC運用支援サービスを導入できます。また、NTT DATAのSOCをベースにサービス提供しているため、グローバルにビジネスを展開しているエンタープライズ企業におけるSOCのノウハウも投入されます」(折原氏)
統合管理、データ保護、人材育成などセキュリティ対策を包括的に支援
プライベートSOC運用支援サービスは既に導入済みのセキュリティ製品を利用できるため、新たな製品に買い替える必要はなく、最低限の予算で導入できることがメリットだ。特にElasticsearchとは広範に提携しており、顧客企業を立体的に支援できる。
NTT DATAの知見とサイオステクノロジーやElasticsearchの支援を合わせ、セキュリティ対策のポイントである「統合管理の視点」「影響度とリスク分析」「データの所在確認」「継続的な教育」などにも包括的に対応する。
Elasticsearchの石尾尚二郎氏(シニアソリューションアーキテクト)「統合管理の視点」という点では、Elasticsearchのセキュリティ製品「Elastic Security」がポイントとなる。Elastic Securityは、オープンソースのデータ検索/分析エンジンであるElasticsearchに、SIEMとしての機能を統合したセキュリティプラットフォームだ。さまざまなセキュリティソリューションを一元的に可視化できる。オープンで透明性がある他、強力な分析機能やスケーラビリティに強みがある。石尾氏はこう説明する。
「高い柔軟性、ハイブリッドクラウド対応、AI活用の3つが大きな特徴です。分散型アーキテクチャを採用しており、膨大なデータを取り扱うセキュリティ環境に適したスケーラビリティを有します。Amazon Web Services、Microsoft Azure、Google Cloudといった複数のパブリッククラウド、オンプレミス、セルフマネージドなどさまざまな環境で利用できます。AIについては、RAG(検索拡張生成)という検索AIの技術を取り入れているのがポイントです。これによってAIは組織が持つデータを活かして、より精度の高い回答を返してくれるようになります」
「影響度とリスク分析」や「データの所在確認」は、Elasticsearchが持つ膨大なログを蓄積できる仕組みが有用だ。
「データ量が膨大になると、保存コストの関係から特定のデータを廃棄したり、保存期間を限ったりすることがあります。Elasticsearchはオブジェクトストレージにデータを保存し検索できる仕組みを持つため、長期にわたるデータの管理や分析を効率良く実施できます」(村田氏)
「継続的な教育」については、3社が持つ知見やノウハウを持ち寄ることで、顧客をさまざまな側面から支援する。まず、SOCを提供することで構造的な人材不足に対応し、兼任のセキュリティ担当者を助ける。また、Elastic Securityでのデータの相関分析やRAGの活用によって企業固有の課題に対応する。人材育成も支援できるという。
「予算や担当要員、教育体制など、多くの企業が抱えている課題に対応できるのがプライベートSOC運用支援サービスです。お客さまのセキュリティレベルを向上させ、セキュリティ事故に素早く対応できるようにします」(折原氏)
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社NTTデータ ニューソン
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2025年7月10日
ITmediaはアイティメディア株式会社の登録商標です。