マクニカ ネットワークス カンパニー

SIEM+運用監視アウトソーシングが
ゼロトラストセキュリティ実現のカギ

ゼロトラストセキュリティを実現する上で、重要な役割を果たすツールが「SIEM(Security Information and Event Management)」である。各種のセキュリティログを統合的に相関分析することで、侵入した脅威を効果的に検知することが可能になるからだ。ただし、SIEMの活用には高度なスキルが求められる上、運用工数もかかるため、社内だけでは対応できないことも多い。そこでマクニカ ネットワークス カンパニーとS&Jでは、こうした課題を解消する「SIEM運用監視サービス」を提供している。

ゼロトラストで一段と増す
SIEMの重要性

株式会社マクニカ ネットワークス カンパニー 第3営業統括部 第1営業部 第3課 成瀬 真人氏
株式会社マクニカ ネットワークス カンパニー
第3営業統括部 第1営業部 第3課
成瀬 真人
 「驚異の悪質化・巧妙化が一段と進む中、情報インフラのゼロトラスト化を目指す動きも加速しています。その取り組みにおいて重要となるのが、各種のセキュリティログを相関分析する『SIEM』の役割です」こう強調するのは、マクニカ ネットワークス カンパニーの成瀬 真人氏だ。

 なぜゼロトラストにおいてSIEMが重要なのか。それには大きく2つの理由がある。まず1つ目は「分析すべきデータの範囲がより広がる」という点だ。「ゼロトラストにおいては、ユーザー認証や端末の脅威検知、アプリケーション制御など、様々なコンポーネントを組み合わせて安全なアクセスを実現します。しかし、運用管理者の目線で考えると、脅威を検知した際には、初期対応や対策を取らなくてはいけません。そのためには、すべてのログを集めて分析することが必要ですが、SIEM無しにはこうした作業を効率化良く行えません」と成瀬氏は話す。

 例えば、 EDR(Endpoint Detection and Response)やIPS(Intrusion Prevention System)からアラートが上がった場合、ネットワーク上で何かが起きていると考えられる。とはいえ、デバイスの情報から推測できるのはここまでだ。「どんな通信が行われたか」「どのプロセスが起動されたか」「内部への拡散が行われていないか」といったことは、ネットワーク機器や端末/サーバーのログを調べないと分からない。

 「こうした場面において、SIEMは大きな効果を発揮します。様々なデバイスのデータを統合管理し、相関分析することが可能なため、センサーアラートだけでは完結できない調査を効果的に実施できるのです。一般的な調査フローのように、複数のツールを使い分けたりする必要もありません」と成瀬氏は説明する。

 2つ目の理由は「分析すべきポイントがゼロトラスト以前とは異なっている」という点だ。「従来型のセキュリティ対策は、外部脅威からの防御に主眼が置かれていました。しかしゼロトラストにおいては、内部不正に対しても検知・分析できる仕組みが欠かせません。これは外部SOCでは対応が難しいため、自社で何とかしなくてはいけない部分でもあります」と成瀬氏は話す。

 例えば、顧客ファイルをダウンロードして個人用クラウドストレージへのアップロードを試みたユーザーがいたとしよう。こうした行為をブロックすることも大事だが、それ以外にも何か怪しい行動がなかったか調べる必要がある。もしほかにもハイリスクと疑われる事象が確認された場合には、速やかに認証基盤と連携して、このユーザーをサービスにログインできないようにしなくてはならない。

 「内部不正検知においては、『脅威』と『異常』を区別して考えることが重要です。異常はあくまでもグレーな行為なので、そのすべてには対応しません。しかし、グレーが積み重なるとブラックですから、これには最優先で対処します」と成瀬氏は話す。具体的な方法としては、「勤務時間帯以外のVPN接続=20ポイント」といった形で、リスクルールにポイントを設定。もし24時間以内にトータル100ポイントを超えたら、アラートを発報するようにする(図1)。「このように柔軟なルール設定が可能なSIEMを利用すれば、内部不正も検知しやすくなります」と成瀬氏は続ける。

CSIRT/SOC/NOCの役割を
どう分担するか

S&J株式会社 営業部 営業部長 石川 剛氏
S&J株式会社
営業部 営業部長
石川 剛
 加えて、ゼロトラストを目指す上では、社内のセキュリティ運用も重要になる。数多くの企業や政府機関に対しSOC (Security Operation Center)サービスを展開するS&Jの石川 剛氏は「そもそもセキュリティ運用の目的は、企業としてのセキュリティガバナンスを効かせることにあります。決してデバイスのアラートを確認することではありません。また、しっかりとしたセキュリティガバナンスを確立するには、どのようなスコープで、どういった品質のセキュリティ運用を築くのかを定義する必要があります」と指摘する。

 ここを見誤ると、大きな失敗を犯すことになりかねない。例えばあるグローバル企業では、国内外のグループ企業や海外会社ごとに監視や対策の仕組みが異なっていた。その結果、インシデント対応に多くの工数と時間を費やすことになったという。こうした事態を招かないためには、CSIRT(Computer Security Incident Response Team)/SOC/NOC(Network Operations Center)の役割分担が重要になる。特にSOCは多岐にわたるセキュリティイベントへの対応が求められることから、「CSIRTは社内に置くが、SOCは外部へアウトソーシングしたい」と考える企業も少なくない。しかし、ただ単純に役割を分けたのではうまくいかないと石川氏は説く。

 「SOCが外部にあると、お互いの責任分担が不明確になりがちです。何かインシデントが起きた時に、特定のアラートしか監視されていないといったことにもなりかねません。ガバナンスを効かせるためには、やはりCSIRTの中にSOCが組み込まれていることが望ましい。実際には機器やアカウントの設定変更なども必要になりますので、できればNOCも一緒に含めてほしいところです」(石川氏)

 MSS(Managed Security Service)が提供するSOCの中には、デバイスのアラート確認や端末隔離しか行わないものもある。この場合、ログからの脅威検知や影響分析/トリアージ、ネットワーク設定変更などの作業は、すべてCSIRT/NOC側で行わなくてはならない。それにも関わらず、これらの運用が想定外となっている企業が大多数なのだという。「トリアージまでのプロセスは外部SOC側が一括で行い、NOCは一時対処、CSIRTは判断と恒久対策といった形で役割を分担するのが理想的です」と石川氏は話す。

SIEMの運用監視を
アウトソーシングで提供

 こうしたセキュリティ運用を実現するサービスが「Managed SIEM」だ(図2)。「お客様保有のSIEM環境に対し、リモートからのぞき込む形でMSSを提供するのがManaged SIEMです。24時間×365日監視や豊富なセキュリティノウハウといった外部SOCのメリットはそのままに、お客様側でも自由な分析・調査が行えます。共通インタフェースを用いるため、MSP(Managed Service Provider)の活動も詳細に把握できます。また、外部脅威対策はMSPで、内部不正の検知・分析は社内でといった具合に、スコープの調整も柔軟に行えます」と成瀬氏は話す。  従来型のMSSでは、導入された製品や機器ごとにSOCも異なってしまうのが一般的だった。これでは監視やエスカレーションなどの運用が個々のSOCごとにサイロ化してしまう。その点、Managed SIEMであれば、社内の共通SIEM環境をリモートで監視・管理するため、相関分析やインシデント対応の取りまとめなども容易に行える。

 「当社でも販売をしている『Splunk』と組み合わせた『SIEM運用監視サービス』というManaged SIEMサービスを提供しています」と成瀬氏。ここでは高度な知識と経験を有するS&JのSOCアナリストがユーザーのSplunk環境を常時監視。アラートの通知だけでなく、対処方法についてのアドバイスなども受けられるという。こうしたサービスを上手く活用すれば、SIEMとデータを自社で保持したまま、セキュリティ運用を効果的にアウトソースすることが可能になるだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
株式会社マクニカ ネットワークス カンパニー SIEM運用監視サービス担当
URL:https://go.macnica.co.jp/Spl-Inquiry-Form.html

S&J株式会社 URL:https://www.sandj.co.jp/