This post is also available in: English (英語)
私たちはこれまで世界中のセキュリティチームと協業してきました。そのなかには、セキュリティオペレーション(SecOps)がベストプラクティスにのってうまく行っているケースも、そうでないケースもありました。そこには実にさまざまなサイバーセキュリティ戦略・投資内容がありましたが、いずれにせよ言えることは、そうしたエンタープライズのセキュリティプログラムには、脅威の迅速確実な防止・特定・調査・軽減についてまだまだ改善の余地がある、ということです。たとえば、経験豊かなセキュリティオペレーションセンター(SOC)であっても、アラートの多さからくる疲労、人員の入れ替わり、複雑な手動プロセスといった問題に苦しんでいるケースは多いことでしょう。こうした問題はすべて、本来であれば調査やプロセス最適化に振り向けられたはずの貴重な時間を奪うものです。
では本当に意味のある改善にむけた最初の一歩とは何でしょうか。それは後ろに一歩さがって全体を眺めてみることです。そこから自社のセキュリティオペレーションがどのような構成なのか、そのオペレーションがビジネス上の目標にどう貢献しているのかを正直に評価することです。
以下に、効率的でスケーラブルなセキュリティオペレーション構築にあたって考慮すべきことを6つの柱としてまとめましたので参考にしてください。これらの柱にはそれぞれ、弊社のブックレット『Elements of Security Operations (セキュリティオペレーションの要素)』(ダウンロードリンクは一番下にあります) で詳しく説明した多くの構成要素が含まれています。これらの柱とその構成要素のそれぞれに対して自社のセキュリティオペレーションを評価すれば、現在のセキュリティ機能に欠けているものがなにかを確認し、自社のセキュリティオペレーションを進化させ、迅速でより優れた防止・修復を提供できるようになることでしょう。
セキュリティ オペレーションの要素に含まれる「ビジネス」の柱では、ビジネスにおけるセキュリティ オペレーション チームの意義と、その管理方法を明らかにします。そのためには、次のビジネス上の質問に答える必要があります。
セキュリティ オペレーションの要素の「人材」の柱では、セキュリティ オペレーション チームの目標を達成する責任者と、その管理方法を明らかにします。そのためには、次の質問に答える必要があります。
「接点」の柱では、定めた目標を達成するために協力を要請する必要のある機能を明らかにします。セキュリティ オペレーションはサイロではないので、ビジネスを構成する他の多くの機能と連携する必要があります。そのやりとりの一つひとつが「接点」と表現されるものであり、グループ間の期待事項が明確になるよう定義しなければなりません。グループごとの目標と動機は異なるため、それを理解すれば、チーム同士のやりとりが円滑になります。また、責任の範囲と職務の分担をはっきりさせることでも、組織内の摩擦を抑えることができます。そのためには、次の質問に答える必要があります。
「可視性」の柱では、SecOps機能がアクセスする必要のある情報を明らかにします。それには、セキュリティとシステムのデータ、そして、コラボレーション ツールによるナレッジ管理コンテンツとコミュニケーションが含まれます。そこで、次の質問に答える必要があります。
「テクノロジ」の柱では、セキュリティ オペレーション組織で必要な情報に対する可視性を実現するために何が必要かを明らかにします。留意すべき重要なことは、各要素を異なるツールと捉えるのではなく、むしろ特定のテクノロジ スタックによって達成すべき能力と捉える必要があるという点です。テクノロジや機能は目まぐるしく変化しているため、これらがセキュリティ オペレーション チームにとって最も流動的な要素といえます。
業界ではサイロ化したツールが過剰に供給されており、広範囲に及ぶベンダーの管理や、限られた機能の利用、重複する機能、ときにはエンド ユーザーのパフォーマンスの低下といった、さまざまな課題につながっています。今や、「サイロ化されたツールの最善の組み合わせ」から、「各種ツールのインストールと保守を必要としない、SOCに求められる能力を提供するプラットフォーム」へと移行が進んでいます。この流れに対応するには、次の質問に答える必要があります。
セキュリティ オペレーションの要素に含まれる「プロセス」の柱では、特定されたミッションを達成するためにセキュリティ オペレーション組織が実行するプロセスと手順を明らかにします。そのためには、次のビジネス上の質問に答える必要があります。
各柱の質問に答えたら、SecOps機能の改善をいつでも支援できる明確な概要が見えてくるはずです。より詳しくセキュリティ オペレーションの要素について掘り下げ、それぞれの目標について説明している『Elements of Security Operations (セキュリティオペレーションの要素)』のPDF版は、こちらからダウンロードできます。
By submitting this form, you agree to our Terms of Use and acknowledge our Privacy Statement. Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.