SOC構築のベストプラクティス
SOC構築のベストプラクティスには、戦略の策定、組織全体に対する可視性の確保、適切なツールへの投資、適切な人材の採用とトレーニング、効率の最大化、特定のニーズとリスクに応じたSOCの設計などが挙げられます。
戦略を策定する:SOCへの投資は非常に重要ですが、セキュリティ計画に大きく依存します。セキュリティニーズに対応した戦略を策定するには、以下の点を考慮してください。
- 保護の必要性があるものは何か。単一のオンプレミスネットワークか、グローバル規模のネットワークか。クラウドかハイブリッドか。エンドポイントの数。機密性の高いデータや消費者情報を保護しているか。最も価値が高く、標的にされる可能性が最も高いデータは何か。
- SOCとNOCを統合するか、別々の部門として設置するか。前述のように、両者の機能は大きく異なるため、統合するにはさまざまなツールと担当者のスキルが必要です。
- SOCスタッフによる24時間365日体制が必要か。これは、人員配置、コスト、および諸設備に影響します。
- SOCを完全に社内で構築するか、サードパーティベンダーに一部またはすべての機能をアウトソースするか。費用対効果分析を入念に行うと、トレードオフの判断に役立ちます。
組織全体に対する可視性を確保する:SOCは、セキュリティに影響を及ぼす可能性があれば、どんなに些細で重要でないように見えても、あらゆるものにアクセスできる必要があります。大規模なインフラに加え、デバイスのエンドポイント、サードパーティが管理するシステム、暗号化データなども含まれます。
適切なツールとサービスに投資する:SOCの構築について考えるときは、まずツールを重視します。セキュリティイベントの数は膨大であるため、「不要な情報」を処理してから重大な脅威を拾い上げるには適切な自動化ツールが必要です。具体的には、以下のようなツールに投資する必要があります。
- SIEM(セキュリティ情報/イベント管理):ネットワーク内のアクティビティを完全に可視化する単一のセキュリティ管理システムです。ネットワーク上の幅広いソースからマシンデータを収集、解析、分類、分析し、リアルタイムで対処できるようにします。
- エンドポイント保護システム:ネットワークに接続するすべてのデバイスには攻撃対象となる危険性が存在します。エンドポイントセキュリティツールは、こうしたデバイスがネットワークにアクセスする際にネットワークを保護します。
- ファイアウォール:ネットワークの着信トラフィックと発信トラフィックを監視し、設定したセキュリティルールに基づいてトラフィックを自動的にブロックします。
- アプリケーションセキュリティの自動化:あらゆるソフトウェアのテストプロセスを自動化し、脆弱性に関するフィードバックをリアルタイムでセキュリティチームに提供します。
- 資産検出システム:アクティブ、非アクティブに関係なく、ネットワークで使用されているツール、デバイス、およびソフトウェアを追跡し、リスクを評価して脆弱性に対処できるようにします。
- データ監視ツール:データを追跡、評価して、そのセキュリティと整合性を確保します。
- ガバナンス、リスク、コンプライアンス(GRC)システム:必要なときに必要な場所で、さまざまな規則や規制に確実に準拠できるようにします。
- 脆弱性スキャナーと侵入テスト:セキュリティアナリストが脆弱性をサーチし、ネットワーク内で発見されていない脆弱性を見つけ出すことができます。
- ログ管理システム:ネットワーク上で実行されているソフトウェア、ハードウェア、エンドポイントデバイスからのメッセージをすべてログに記録します。
優秀な人材を採用し、十分なトレーニングを行う:有能な人材を採用し、継続的にスキルを向上させることが成功には不可欠です。セキュリティ人材の市場は競争下にあります。優秀な人材を採用したら、スキル向上のためのトレーニングに継続的に投資することで、セキュリティ強化につながるだけでなく、エンゲージメントと定着率が向上します。チームスタッフは、アプリケーションとネットワークのセキュリティ、ファイアウォール、情報保証、Linux、UNIX、SIEM、セキュリティのエンジニアリングとアーキテクチャを理解する必要があります。最高レベルのセキュリティアナリストには、次のスキルが必要です。
- 倫理的ハッキング:自社システムの脆弱性を明らかにするために、スタッフによって合法的なシステムハッキングを行う場合があります。
- サイバーフォレンジック:アナリストは問題を調査し、分析手法を活用して、調査で得られた証拠を理解して保存する必要があります。事件が裁判になった場合、セキュリティアナリストは、発生した内容と理由を示す一連の証拠文書を提供できる必要があります。
- リバースエンジニアリング:ソフトウェアを分解または再構築するプロセスであり、ソフトウェアがどのように機能するかを把握する目的で行われます。さらに重要なのは、攻撃に対して脆弱な部分について理解することで、チームが予防策を講じられるようにすることです。
- 侵入防止システムの専門知識:ツールがなければ、脅威がないかどうかネットワークトラフィックを監視するのは不可能です。SOCでは、ツールの適切な使い方について詳細を把握している必要があります。
あらゆる選択肢を検討する:SOCの一般的な種類には以下のものがあります。
- 企業内SOCは、通常、オンプレミスを前提とした専任スタッフがいます。物理的な部屋があり、あらゆる対応がそこで行われます。
- 仮想SOCは、オンプレミスではなく、必要に応じてパートタイム従業員や契約社員が連携して問題解決にあたります。このSOCと組織は、相互の関係を円滑にするために基準とガイドラインを設定します。SOCが提供するサポートの量は、組織のニーズによって異なります。
- アウトソーシングSOCとは、セキュリティ分析と対応を専門とする外部のマネージドセキュリティサービスプロバイダ(MSSP)が、一部またはすべての機能を管理しているSOCのことです。このような企業は、企業内SOCをサポートする特定のサービスを提供する場合もあれば、すべてに対応する場合もあります。
より詳しく知りたい方は、Splunkが提供している『優れたSOCを構築するための基本ガイド』をぜひご覧ください。