新型コロナウィルスパンデミックの社会問題と、産業技術の発展によってシステムの連携性は強化され、インフラはより複雑なものとなった。複雑化した環境は、国と企業のサイバーセキュリティ脅威に繋がり、新型コロナウィルスのような問題がセキュリティリスクとして注目されている。このようなセキュリティリスクに対応するためには、組織(Organization)の内部・外部から収集される様々な情報を、保存・分析・活用する過程で、脅威となる要因を素早く見つけ対応し、そのセキュリティリスクの危険性を低減させる努力が必要である。その為にサイバー環境の最前線で組織の資産を保護する業務を担う、高度化された技術とプロセスを持ったセキュリティ監視サービス(Managed Security Service)と、インフラのセキュリティ監視センター(SOC, Security Operation Center)は、セキュリティを強化するための重要要素である。
初期のセキュリティ監視はICTインフラ環境を保護するため、大規模な通信及び企業ネットワークをモニタリングするCND(Computer Network Defnse)やNOC(Network Operations Centers)のメカニズムを基盤として、ネットワークモニタリング、検知、分析(軽量及びパターン分析など)、インシデント対応及びリカバリー活動をすることで、コンピュータネットワーク内で許可されていない異常行為から保護すれための活動を実施していた。最近のサイバー環境は△論理的な枠組み(Logical Framework)としてはIT環境を超え、ICS/OT環境へ拡張さており多様なシステム環境の融合的なセキュリティの必要性が高まり、△インフラの側面(Infrastructure)からはOn-Premise環境からCloudへ拡張され、△技術的な側面(Technology)からはAI/ML, Automation, Orchestrationなどのデータ分析及び運用技術の高度化を基盤に発展しています。こうしたサイバー環境の変化に伴うセキュリティ脅威への対応として、セキュリティ戦略はいつになく重要になっている。
急変するサイバー環境に対応するためには「ビジネス連携セキュリティ戦略(Business Aligned Security Strategy)」を通して産業ごとの特性に柔軟(Resilience)に対応できるセキュリティ監視運用のセキュリティ設計と新技術を合わせ、監視運用を高度化する工夫が必要である。従って、セキュリティ監視サービスを運用するために重要な環境であるセキュリティ監視センター(SOC)の構造と構成要素(Functions)について調べ、これを基にセキュリティ監視を高度化するためのロードマップとその適用方法について調べた内容を、2回に分けて記載する。
セキュリティ監視センターはITインフラをモニタリングする単純な機能を担ってると考えるかもしれないが、詳細には組織のサイバーセキュリティ戦略を実施するための戦略と技術の総体とも呼べる。SANS(SANS Institute)からはセキュリティ監視センターについて「事前に設計及び構成されたシステムのステータスを持続的にモニタリングし、意図しない行為によるリスクを最小化し、組織の情報システムを保護する人(People)、プロセス(Process)、技術(Technology)を組み合わせたものである。」と定義し、グローバルITリサーチ業者のGartnerからは「中央集中化されて統合された構造からセキュリティインシデントの予防、セキュリティイベントのモニタリング、検知及び対応技術をサポートしてビジネス組織の要求事項をサポートする環境である。」と定義している。
セキュリティ監視センターの定義をまとめると、ITインフラにおいて一定のレベル以上のセキュリティレベル(Security Level)を維持及び向上するための目的で、中央集中化された環境から管理的・物理的・技術的脅威要因の識別(Identify)、予防(Protect)、検知(Detect)、対応(Respond)、リカバリー(Recover)、管理(Management)の業務を実施する組織を意味する。
セキュリティ監視センターの 成熟度 (Maturity)を向上するため、管理的・物理的・技術的な観点からSOC Model, SOC Operation Structure, SOC Implementationなどを、次の図のように知識領域を分類できる。PDCA(Plan, Do, Check, Action)サイクルで蓄積、発展した知識領域(Knowledge Area)はセキュリティ監視運用及びインシデント対応のための運用状況を理解ができる。その為、全般的な運用の基盤となるものは、情報共有のための内部・外部の脅威情報として収集されたCTI(Cyber Threat Intelligence)と、ICTインフラ及びシステムから発生するログからセキュリティソリューションでアラート及びイベントを認知するプロセスを管理分析するための活動となる。
【▲ Security Operations & Incident Management Knowledge Area Issue 1.0 (参考:CyBOK)】
セキュリティ監視センターからセキュリティ監視運用に必要な知識領域を効果的にハンドリングするためには、セキュリティ監視の運用に必要な要求事項及び、運用方法などに対する技術の積み上げが反映されたSOC Architectureが必要である。SOC Architectureは業務タイプ及び分離によって3つのSOC Functionsに分類される。まず、△SOC構成のためのSOC Model, SOC Operation Structureなどを標準化して定義する「Standard」、△SOC構成の重要要素である人(People)、プロセス(Process)、技術(Technology)で構成される「Component」、△SOC構成要素が実施すべき業務範囲及び手順などが明示されている「Specification」で構成される。
区分 | 説明 | 詳細内容 |
---|---|---|
Standard | SOCを構成するためのSOC Model, SOC Architecture, SOC Operation Structure, SOC Implementationなどを分析し、定義して明文化された基準 | ・ 組織のビジネスタイプによるセキュリティ監視センターの要求事項分析 ・ セキュリティ監視センターの構成に必要な物理的、技術的標準事項(ISO/IEC)活用 ・ SOC Standardを基盤とした組織のセキュリティ戦略に対するレベルの測定:SOC準備度(Readiness)及び 成熟度 (Maturity) |
Component | SOCを構成するための重要要素を3つに分類してStandardを反映させる為の細分化された構成項目 | ・ 人(People) : SOC Chief, SOC Deputy Chief, 1-Tier Lead(s), 2-Tire Lead(s), Trending Lead, Scanning Lead, VA/PT Lead, System Life Cycle Lead, Stakeholder ・ プロセス(Process) : SOC Workflow, Incident Response Process, Threat Hunting Process, SOC Orchestration ・ 技術(Technology) : Threat Intelligence, Threat Hunting, Incident Response |
Specification | SOC Componentを利用して実施する業務R&Rごとの業務範囲及び詳細実施内容 | ・ Analysis & Response : Real-time Monitoring, Incident Analysis, Forensic Artifact Handling & Analysis ・ Scanning & Assessment : Network Scanning, Vulnerability Scanning, Situational Awareness ・ System Operation : System Admin, Engineering |
【▲ SOC Functions (参考:イグルーコーポレーション(IGLOO Corporation 旧:IGLOO Security)】
海外で適用されているISO/IECの中で標準(Standard)は「合意し作成され、公認された機関によって承認されたもので、与えられた範囲内での最適レベルの達成を目的に共通して、反復的に使用される規則、指針または特性を提供する文書」とされ、組織の力量を総動員して発見された事項に基づき、共同体の目標(利益)を達成の最適化促進を目標として制定されるべきだと規定している。セキュリティ監視センター(SOC)の最適なセキュリティレベルを維持するためには、持続的に標準化(Standardization)することで利害関係者との業務詳細の明確化及び重複業務の最小化、業務の統一性と一貫性を基盤した効率化などが図られる。
特にセキュリティ監視センターの「Standard」はSOC Model, SOC Operation Structureなど様々な領域に影響を及ぼすため、ビジネスの利害関係者及び組織内の技術力を考慮して、MECE(Mutually Exclusive Collectively Exhaustive)な基準を定めることが重要である。このためにISO27001, ANSI ISA/IEC 62443, NIST SP-800-82などの国際標準以外に、産業ごとの標準を反映しなければならない。△エネルギー(Energy)分野ではISO 27019, NERC CIP, API STD 1164, ONG-C2M2、△交通(Transport)分野ではISO/TR 13569:2005, AIAA、△ 金融(Financial)分野では PCI DSS, PSD 2, SOX, ISO/TR 13569:2005, GLBA、△ ヘルスケア(Healthcare)分野ではISO 27799, HIPAA、△デジタルインフラストラクチャー(Digital Infrastructures)ISO27011などの世界標準を適用してCyber Security Frameworkの構成が必要である。
最近はセキュリティ監視センターだけではなく、セキュリティのための標準を策定する中でNIST Cyber Security Frameworkを適用する割合が高くなっている。「SANS 2019 State of OT/ICS Cybersecurity Survey, June 2019」の「Top 10 Regulations, Standards, Best Practices Used」の結果によると38.1%がNIST CSFを適用しており、その他、ISO 27000 Series(32.0%), NIST 800-53(31.4%), NIST 800-82(30.9%), ISA/IEC 62443(30.4%)などがランクされている。NIST CSFは多様な産業分野及びセキュリティフレームワークが含まれ、下記のようにENISAのプロファイリングやIEC 62443からの標準として活用している。
【▲ Adjusting (profiling) ENISA to the NIST CSF to be integrated into the methodology(左)、Mapping between NIST CSF and OT CSMS from IEC 62443-2-1 Standard(右)】
セキュリティ監視センターの構成のための重要なFunctionsの中の一つであるComponentは△人(People)、△プロセス(Process)、△技術(Technology)の3つの要素で分類される。一般的にはセキュリティ監視センター(SOC)の3つの要素を人、プロセス、技術で分類もするが本文書ではセキュリティ監視センター全般にわたってCyber Security Architectureの観点からFunctionsを分類するため、一般的なセキュリティ監視センターの構成要素項目をComponentカテゴリーに分類した。
【▲ 2022 Security Operation Center Component (参考:SANS SANS Institute 2015, ‘Building a World-Class Security Operations Center : A Roadmap’一部再構成)】
まず、セキュリティ監視センターを運用している人的資源(Human Resource)に対する全ての範疇となる「人(People)」は、セキュリティ監視センターの責任者(SOC Chief)、監視専門家(Tier 1 Analyst : Alert Investigator, Tier 2 Analyst : Incident Responder, Tier 4 SOC Manager Commanderなど)、セキュリティ診断の専門家(VA/PT Lead)、利害関係者(Stakeholder, セキュリティ監視センターの運用方法によって関連されているすべての利害関係者を意味)で構成される。
区分 | 実施業務 |
---|---|
Tier 1 Analyst Alert Investigator | ・ SEIMアラート(Alert, Event)をモニタリングし、セキュリティモニタリングツールの構成管理 ・ アラートに対する優先順位順に分析し、実インシデント発生有無の1次確認(攻撃の有効性を判断して1次対応実施) |
Tier 2 Analyst Incident Responder | ・ セキュリティインシデントを認知、セキュリティモニタリングツールのアラート及びアーティファクト(Artifact)などを詳細に分析して被害範囲の判定及び対応の実施 ・ インシデントから得られた情報(IoC, C2, TTPsなど)を基に脅威インテリジェンス(Threat Intelligence)と総合比較、連携し、攻撃主体及び攻撃方法などを分析して追加影響度を分析 ・ インシデント緩和のためのシステム及びインフラの隔離、対応及び改善によるリカバリー戦略決定及び樹立 |
Tier 3 Analyst Subject Matter Expert / Threat Hunter | ・ 脆弱性診断(Vulnerability assessment)及びペネトレーションテスト(Penetration Testing)実施 ・ 周期的なThreat Intelligence及びCWE, CVEに対するPoC存在有無によってインフラの影響度などを確認 ・ インシデント発生時、Tier 2 Analyst(Incident Responder)とインシデント対応及び、その後の措置を実施 |
Tier 4 SOC Manager Commander | ・ 資産、優先順位及び、プロジェクトを管理し、ビジネスクリティカルセキュリティインシデントの対応をする組織を直接管理 ・ セキュリティ、規定遵守及びその他のセキュリティに対するビジネスの一元化窓口の役割実施 ・ Business-Aligned Security approachによるstategyとstrategic capability |
Security Engineer Support and Infrastructure | ・ セキュリティ側面に合わせた情報システム設計 ・ Security Architectureの構成のためのソリューション及びツールサポート |
【▲ SOC構成人力ごと実施業務分類 (参考:イグルーコーポレーション(IGLOO Corporation 旧:IGLOO Security))】
2つ目の構成要素は「プロセス(Process)」で、セキュリティ要求事項に対する構成員の業務を手順(Procedure)に従って実施するための、InputとOutputとの間の相互作用を明示したものを意味する。SOC Workflow, Incident Response Processなどに適用されることでセキュリティ監視センターの運用に必要な業務をStandard化し可視化することに役立て、これを基にしてSOAR(Security Orchestration and Response)のPlaybook作成にも活用できる。
セキュリティ監視センターの「Deployment Model」は人、プロセス、技術という項目に多くの影響を及ぼす。特にプロセスを実施するためのInputとOutputの形が「Deployment Model」によって適用されるため、他の項目に比べて影響度が高いと言える。セキュリティ監視センターの「Deployment Model」は△セキュリティ監視センターのプラットフォームやサービス、メンテナンスの方法などによって提供者(Provider)や消費者(Customer)を区分し、所有者(Ownership)観点で分類したり、△セキュリティ監視センターの運用環境(Location)による雇用形態(Customer Perm, Service Provider)で分類できる。
もっと細分化すると、組織の物理的な側面から組織構成(Dedicated, Distributed)やセキュリティ監視センターの機能(Multifunctional, Fusion)、セキュリティ監視センターの組織内の人員構成(Insourcing, Outsourcing, Multi-Sourcing)などで分類される場合もある。「Deployment Model」のタイプによって主要業務及び実施方法などで責任問題が発生する可能性もあるため、管理主体及び実施業務などが管理できる「Standard」や「Specification」の具体化がなにようりも重要な要素である。
区分 | 主要業務 |
---|---|
Dedicated SOC | ・ 専担施設、専担者がいるSOC ・ 社内専担技術者による完全な運用の無休運用 |
Distributed SOC | ・ 一部常勤専担技術者と一部非常勤専担技術者が領域別に運用 |
Multifunctional SOC/NOC | ・ ネットワーク運用センター(NOC)とSOC機能を全て実施する専担チームがある専担施設 |
Fusion SOC | ・ 脅威インテリジェンス(Threat Intelligence)、運用技術(Operation Technology)のような新しい機能と結合された既存SOC |
Command(Global) SOC | ・ グローバル企業のSOCと調整し、脅威インテリジェンス(Threat Intelligence)、状況認識(Situational Awareness)及び指針を提供 |
Virtual SOC | ・ 専担施設、非常勤チームがなく、一般的に重要なアラートもしくはインシデントが発生するときだけ有効化 |
Managed SOC (MSSP/MDR) | ・ アウトソーシング基盤でSOCサービスを提供するためにMSSP(Managed Security Service Providers), MDR(Managed Detection and Response)と合わせたもの ・ すべての運用をアウトソーシングで行ったり社内セキュリティ専担技術者と共同運用 |
【▲ SOC Deployment Modelsの主要業務分析 (参考:イグルーコーポレーション(IGLOO Corporation 旧:IGLOO Security))】
セキュリティ監視センターの「Deployment Model」の中で一般的に用いられる方法が「Dedicated SOC(単独運用)」と「Distributed SOC(移管処理)」である。「Deployment Model」はセキュリティ監視センターの構成インフラ及び人力などを単独で運用することで、運用プロセスから発生する全ての業務を一括的に処理し、一体化されたプラットフォーム構成で業務を実施することができる「Distributed SOC」の場合、多数のセキュリティ監視センターが有機的に業務を運用する仕組みで、公共機関のセキュリティ監視センターはこの方法で運用される場合が多い。上位のセキュリティ監視センターから1次モニタリングを行い、アラートを認知したら下位のセキュリティ監視センターに移管して業務を処理する方法である。セキュリティ監視センターは小規模で運用され24時間365日体制が難しい場合もこのような運用方法を使う。
区分 | 単独運用(Dedicated SOC) | 移管処理(Distributed SOC) |
---|---|---|
運用体制 | ・ 別途配下のSOCが存在しない単独運用 ・ SOC内でセキュリティ監視、インシデント対応、セキュリティソリューション運用などの業務を全て一括で処理 | ・ 多重SOC構造で一般的に上位SOCと下位SOCで分かれて運用 ・ 一般的に上位SOCから下位SOCにイベントを移管(移管されたアラートに関しては下位SOCで処理実施) |
セキュリティソリューション運用 | ・ ICTインフラ構造運用に必要な単独SOC構成プラットフォーム(Ticket処理システム、SIEM, Endpoint, Networkなどを一元化して運用) | ・ 上位SOCと下位SOCが別途構成されたSOCモニタリング環境を利用してセキュリティ監視実施 ・ 運用権限によって上位SOCと下位SOCが分離 |
権限設定 | ・ セキュリティソリューションに対するアクセス権限及び運用権限を保有 ・ 運用組織内の構成員のR&Rによって権限が違うが、一つの組織内で運用可能 | ・ 上位SOCと下位SOCなど運用構造によって一般的に上位SOCはモニタリング権限のみを持ち、ポリシー設定などに権限は制限 ・ アクセス権限、モニタリング権限、運用権限などがSOC環境によって細分化 |
主要特徴 | ・ 一体化されたセキュリティポリシー及び運用方法の樹立することが可能 ・ 単一ビジネス及び組織構造に最適化された運用効率化を高めることが可能(Business-oriented, Organization-oriented Architecture) | ・ 分散化された組織で一貫されたセキュリティポリシー反映を実施するのが容易 ・ 業務R&Rに対する明示が曖昧な場合、重複でセキュリティ監視業務を実施する場合とが発生 |
構成 | ![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/570011/131ba3d2-f3e8-f551-5be7-ba760feae951.png) | ![image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/570011/3b6e18f8-0566-8110-2d2b-ad57180a6743.png) |
【▲ SOC Deployment Modelsによる主要特徴比較 (参考:MITRE, ‘Cybersecurity Operations Center’一部再構成)】
最後の項目はセキュリティ監視センターから収集されたデータを基づいて脅威情報を識別することに使用される方法などを意味する「技術(Technology)」である。Threat Intelligence, Threat Hunting, Incident Responseなど脅威(Threat)から攻撃主体及び攻撃方法を把握するのに使用される一連の方法やツールが含まれる行為で、最近では人工知能やマシンラーニングなどの技術が活用されている分野でもある。最近Technologyから話題になっているキーワードはAutomationとOrchestrationだといえる。下記の図のように多様な経路から収集されたData Source及びThreat IntelligenceでTTPsを分析し、エスカレーション(Escalation)や調査手順(Investigation procedures)に対するプロセスでビックデータ分析及びAI/MLなどの技術を活用して、AutomationやOrchestrationでセキュリティ監視の 成熟度 を向上することが主な目的である。
【▲ Pyramid of Pain by David J. Bianco (上)、Fidelis Cyber Security and Vector8 About Data Source Spectrum (下)】
Written by CYBERFORTRESS, INC.
Tweet