はじめに
近年、サイバーセキュリティに対する意識の高まりを感じている。
国会では「セキュリティ・クリアランス制度」なるものの検討が進んでおり、誰もが知っているような上場企業であれば当たり前のようにサイバーセキュリティ対策を専門で行う部門が設置されるようになってきた。
筆者が実際にクライアントと会話していても、以前のように「サイバーセキュリティ対策の必要性がわからない」というケースは減ってきており、「サイバーセキュリティ対策をとりあえずやりたい」という経営層が増えているようにも感じる。
そして、需要が高まれば供給側の企業も増えるのが資本主義の性(さが)である。
大手SIerやコンサルティング会社はこぞってサイバーセキュリティ分野への増員に力を入れている。
サイバーセキュリティ分野を得意としたベンチャー企業の上場事例も多数見受けられる。
そんな中、近年急速に拡大しているビジネスが24時間365日監視(以下:24・365監視)サービスである。
24・365監視サービスとは
サイバー攻撃は昼夜問わずやってくる
サイバー攻撃への被害を対応するために、常時システムを監視し対応を行う必要がある
セキュリティベンダーのホームページを閲覧するとこのような文言が目に入る。
どちらも書いていることは正しい。
ただ、本当に24・365監視が必要なのだろうか。
多くの24・365監視サービスは24・365で人が稼働している。
仮に時給3000円のオペレータが働いていたとしたら、
216万円(3000円/時 × 24時間 × 30日)が毎月かかることになる。
年額にすると、約2600万円だ。
当然、オペレータを1人ではなく複数人割り当てている場合もあるだろう。
また、欠員が生じたときのためにバックアップメンバーのアサインも必要である。
そうすると、年額3000~4000万は超える費用になるのが一般的ではないだろうか。
果たして、本当に24・365監視サービスに年額3000~4000万かける必要があるのか。
本記事では、SOCの立上げや導入を普段から行っている立場の人間として、上記の問いに対する考察をしていく。
インシデントレスポンスの基本
本パートでは、一般的なインシデントレスポンスの流れと各組織の役割を紹介する。
普段セキュリティの業務に関わっていない方向けのパートであるため、必要に応じて読み飛ばしてほしい。
インシデントレスポンスの流れ
インシデント対応は大きく分けて以下のような過程で行われる。
-
アラートの検知:セキュリティインシデントの疑いのある事象をセキュリティ機器等で検知し、インシデントハンドリングを行う組織がアラートの受付を行うフェーズ
-
アラートの分析:検知したアラートが誤検知ではないか、業務に影響があるか、被害範囲がどの程度かを把握するフェーズ
-
トリアージ:検知したアラートの対応優先度を決定するフェーズ。この段階で無影響と判断されたアラートは後続フェーズへ進まない
-
暫定対応:被害の拡大を封じ込めるためのフェーズ。ウイルスの隔離や外部NWとの分離、システム停止などを行う
-
根本対応:システムを再開するために、発生原因を特定し再発防止策を講じるフェーズ
-
復旧:システムを正常な状態に復旧させるフェーズ
参考:https://www.jpcert.or.jp/csirt_material/files/manual_ver1.0_20211130.pdf
※実際には関係各所への連絡や外部への情報公開等も入ってくるが、本記事において重要な論点でないため割愛している
インシデントレスポンスにおける役割(SOC・CSIRT)
一般にインシデントレスポンスを行う組織は以下の2つの組織に分類される。
- SOC(Security Operation Center):アラートの検知~分析を行うことで、システム的な観点でセキュリティインシデントを発見する組織。(#1~#3、場合によっては#4を担うのが一般的)
- CSIRT(Computer Security Incident Response Team):インシデント発生後の被害拡大の防止や、インシデントの根本解決を目的に、ビジネス的な観点で対応を行う組織(#4~#6を担うのが一般的)
要は、SOCは技術的(システム的)な部分で、CSIRTはビジネス的な部分でインシデントをハンドリングするという役割が一般的である。
※上記の役割については様々な定義が存在しており、組織によっても役割が異なってくる点に留意する
24・365監視について
ここからは、本記事の本題である24・365監視の必要性について論じる。
24・365監視であることの価値
前述のSOC・CSIRTの役割分担において、多くの組織がSOCの部分を24・365で稼働させている。
要は、インシデントレスポンスにおける「アラートの検知」、「アラートの分析」、「トリアージ」、「(場合によっては)暫定対応」を常時 「人」 で行っているということである。
以降では、各フェーズにおいて、「人間ではないとできない業務」は何かという視点で、24・365監視の価値を検討していく。
「アラート検知」フェーズ
本フェーズにおいて、人間が常時いないとできない業務はほぼないといってよいだろう。
各種セキュリティ製品からは人がいなかったとしてもアラートは上がり続けるし、SIEMを使用している場合は検知ロジックを作りこみ自動実行するような仕組みを入れることも可能である。
「アラートの分析」フェーズ
本フェーズにおいては、数多あるアラートに対し、調査すべき対象を特定し高度な分析をすることが人間に求められてることである。
「入口のFWでアラートが上がったため到達先のサーバのログを調べる」
「端末でマルウェアを検知したので、当該端末の通信ログを調べる」
このような定型的な操作はSIEMに任せてしまえばよい。
人間に求められるのは、
- マルウェアがどんな挙動を行っており、そこから予想される被害は何か
- 検知した通信先は、過去にどのような攻撃に用いられたか
- 誤検知である可能性は考えられないか
など、システムで簡単に実装できない調査であるといえる。
つまり、ただ手順書に定められた作業をするオペレータは不要ということである。
監視対象のシステムの特性を把握するとともに、検知したアラートからどのような攻撃が考えられるのかを推測し、適切に分析を行う能力を持った人材を配置できれば、インシデントの全容把握の早期化に大きく寄与するであろう。
「トリアージ」フェーズ
本フェーズにおいて重要となってくるのが、「影響有無を適切に判断する能力」を持ち合わせていることである。
一般に、本フェーズではトリアージをするための条件がCSIRTより提供されていることが多い。
しかし、インシデントレスポンスに携わったことがある方であれば経験があるだろうが、初期段階で攻撃の全容を把握するのは非常に難しい。高度な攻撃が行われていた場合はほぼ不可能といってもいいだろう。
そんな不確定要素がある中で、アラートの影響を判断しなくてならない。
そのため、セキュリティに関する知見を持ち合わせているのはもちろんのこと、リスクに対する考え方をきちんと理解しており、事前にCSIRTとエスカレーションの条件をコミュニケーションとれる人材を配置できれば、有効であるといえる。
「暫定対応」
本フェーズをSOCで実施するかは組織次第であろう。
筆者の経験では、IPアドレスの遮断や悪性ファイルの隔離、重要度の低いPCのNW隔離など、ある程度ビジネスへの影響度の低い対応はSOCで行っていることが多いと感じている。
一方、サーバ停止や拠点のNWの隔離等、ビジネスインパクトの大きい対応はCSIRTで行うことが一般的である。
ファイルハッシュやIPアドレスのレピュテーション情報をOSINTサイトで調べ、閾値を超えたらSOARでAPIをCallし対応する・・・といった具合に、影響度の低い対応(=SOCで対応できる領域)は自動化 することができる。
つまり、人がいないとできないことは限りなく少ないと考えている。
24・365監視の必要性
上記をまとめると以下のようになる。
| フェーズ | 人による24・365監視の必要性 | 備考 |
|---|---|---|
| アラート検知 | × | セキュリティ機器やSIEMで自動化可能 |
| アラート分析 | 〇 | 高度な分析をできる人材が配置できない場合は× |
| トリアージ | 〇 | 高度な判断をできる人材が配置できない場合は× |
| 暫定対応 | × | SOARで自動化可能 |
つまり、人による24・365が有効な状況とは以下のいずれかの条件に当てはまる環境であるといえる。
- 何らかの事情によりSIEMやSOARを導入できる検知・対応が自動化できない組織
- 高度なスキルを有した人材を常時配置できる組織
なお、ここでいう高度なスキルを有した人材というのは、筆者の体感では業界経験最低7~8年以上、年収としては800万円以上であると考えている。
本当に24・365で監視するSOC部隊は必要なのか
結論から言うと、「セキュリティにかけるお金が多分にある企業」が「内製」で監視部隊を構築するのであれば24・365での監視は有効であると考えている。
なぜ「内製」が重要なのか
各セキュリティベンダーは、自社製品や有名製品の監視サービスを提供している。
しかし、多くのサービスが機器単体のログを分析するのみであり、「自社のシステム構成を把握して適切にアラートを分析できるようなサービス」とは言い難いのが現状である。上記で紹介した「アラートの分析」が求める水準には到底及ばない。
自社の環境を適切に把握しており、検知対象の機器以外のログを相関的に分析できる人材を確保するためには、内部で人材を育てる必要があると、筆者は考えている。
なぜ「セキュリティにかけるお金が多分にある企業」が重要なのか
前述のとおり、スキルの低いオペレータが24・365で監視したとしてもまったく意味がない。ただの情報伝達係になるだけである。
つまり、高度な人材(通常の企業であれば年収800万円台の人材)を夜間・土日祝勤務有の環境で24・365体制で確保するだけの体力が必要なのである。
※本記事の冒頭部分で時給3000円というのはこの800万円をもとに算出している(年収800万円=時給3333円)
当然、夜間・土日祝ともなれば時間外給与が発生する。欠員が生じたときのためのバックアップメンバーを待機させる必要もある。システムが大規模であれば2~3人を常時アサインする必要もある。
そのような体制を組むためには、十分な資金が必要であることは自明である。
最後に
最後に、筆者がこの記事を書いた理由を説明する。
近年、サイバーセキュリティの需要が高まっていることをいいことに、大したことをやっていないセキュリティベンダーが「24・365監視」であることをうたい文句にビジネスを拡大している。そのことに対して大きく警鐘を鳴らしたい。
※中にはすごく有効な監視をしているセキュリティベンダーも存在する
「インターネットフェイシングしていないFWを本当に監視する必要があるのか」
「自動隔離機能がありアラートの詳細をレポートしてくれるEDRをSOCで監視する必要があるのか」
今一度、自組織が委託している監視組織の取り組みに目を向けてほしい。
24・365監視はセキュリティをレベルアップするための1つの手段であり、おまじないではない。
本記事が、24・365監視することの意味を考えるきっかけとなれば本望である。