Level Up SOC, セキュリティ監視構成熟度向上のためのロードマップ後編 |サイバーフォートレス

新型コロナウィルスパンデミックの社会問題と、産業技術の発展によってシステムの連携性は強化され、インフラはより複雑なものとなった。複雑化した環境は、国と企業のサイバーセキュリティ脅威に繋がり、新型コロナウィルスのような問題がセキュリティリスクとして注目されている。このようなセキュリティリスクに対応するためには、組織(Organization)の内部・外部から収集される様々な情報を、保存・分析・活用する過程で、脅威となる要因を素早く見つけ対応し、そのセキュリティリスクの危険性を低減させる努力が必要である。その為にサイバー環境の最前線で組織の資産を保護する業務を担う、高度化された技術とプロセスを持ったセキュリティ監視サービス(Managed Security Service)と、インフラのセキュリティ監視センター(SOC, Security Operation Center)は、セキュリティを強化するための重要要素である。

初期のセキュリティ監視はICTインフラ環境を保護するため、大規模な通信及び企業ネットワークをモニタリングするCND(Computer Network Defnse)やNOC(Network Operations Centers)のメカニズムを基盤として、ネットワークモニタリング、検知、分析(軽量及びパターン分析など)、インシデント対応及びリカバリー活動をすることで、コンピュータネットワーク内で許可されていない異常行為から保護すれための活動を実施していた。最近のサイバー環境は△論理的な枠組み(Logical Framework)としてはIT環境を超え、ICS/OT環境へ拡張さており多様なシステム環境の融合的なセキュリティの必要性が高まり、△インフラの側面(Infrastructure)からはOn-Premise環境からCloudへ拡張され、△技術的な側面(Technology)からはAI/ML, Automation, Orchestrationなどのデータ分析及び運用技術の高度化を基盤に発展しています。こうしたサイバー環境の変化に伴うセキュリティ脅威への対応として、セキュリティ戦略はいつになく重要になっている。

急変するサイバー環境に対応するためには「ビジネス連携セキュリティ戦略(Business Aligned Security Strategy)」を通して産業ごとの特性に柔軟(Resilience)に対応できるセキュリティ監視運用のセキュリティ設計と新技術を合わせ、監視運用を高度化する工夫が必要である。従って、セキュリティ監視サービスを運用するために重要な環境であるセキュリティ監視センター(SOC)の構造と構成要素(Functions)について調べ、これを基にセキュリティ監視を高度化するためのロードマップとその適用方法について調べた内容を、2回に分けて記載する。
今回はその後編である。（前編：https://cyberfortress.jp/2022/04/26/level-up-soc/）

3) SOC Functions: Specification

セキュリティ監視センター内ではセキュリティ情報(Data Source, Threat Intelligence)を収集してモニタリングするためのSIEM ArchitectureやTicketing System, Platform integrationsなどのツールでEvent Monitoring, Threat Responseなどの業務を定義(Role Definition)し、持続的な対応力を向上させる活動が必要である。そのためにはセキュリティ監視センターを構成しているFunction間で遂行すべきの業務を分類し明文化するのが大事である。

下記の表ではセキュリティ監視センターで行う一般的な業務の分類及び遂行業務に関する内容を整理した。セキュリティ監視センターの構成によって一部異なる場合があるが、NIST CSF観点からみるとセキュリティ診断及びThreat Intelligenceをから予防(Protect)活動を行うことができ、セキュリティ監視及びセキュリティソリューション業務では検知(Detect)活動、インシデント調査結果から対応(Respond)及び復旧(Recover)活動を行うことができる。

Property	遂行業務	種類
セキュリティ監視	・リアルタイムイベントモニタリング・ログ分析及びインシデント予防・脅威検知及び分析結果からのアラート作成及び対応力向上	・単位セキュリティソリューション基盤のセキュリティ監視・統合セキュリティソリューション基盤の統合セキュリティ監視・アラートイベント及びログ基盤のビックデータセキュリティ監視・ AI/ML基盤の人工知能セキュリティ監視
Threat Intelligence (脅威情報/収集/保存/分析/共有)	・先制的なセキュリティ脅威対策のためのサイバー脅威情報収集・攻撃の有効性判断及び分析による類似セキュリティ脅威への対応方法樹立・標準化された脅威情報共有体系(STIX / TAXII)、共有技術(REST, OpenAPI, Log , SNMP, Trapなど)での情報共有	・ OSINT : crtsh, cybercrimeTracker, cymon, greyNoise, phishingCatcher, urlhaus, ransomwareTracker ・ Vulnerability : Exploit-DB, CVE, CWE, GitHub ・ Web Application Defacing : zone-h, xssed, phishtank, shodan, Zoom-Eye ・ SCAM : Bitcoin Abuse Database
セキュリティ診断	・インフラに存在するセキュリティ脅威を事前に確認処置する行為	・攻撃及び対応観点別：Red Team(Attack Vector / Techniques), Blue Team(Detective / Preventative Controls) ・ Vulnerability Assessment, Penetration Testing
インシデント調査及び対応	・組織の資産(Asset)内から発生するインシデント(Incident)の原因を分析し、対応するための行為・分析対処による証拠物(Artifact)の収集及び分析（最近は監査(Audit)側面から活用増加）	・ Digital Forensic, Incident Response, Threat Hunting
セキュリティソリューション運用	・サーバ、ネットワークそれぞれでのセキュリティ機能遂行(DID, Defense-in-depth) ・インフラのセキュリティ脅威対応のために統合セキュリティ監視ソリューション連携及び運用、管理、自動化	・ Server based : Anti-Virus, Anti-Exploit, DLP(Data Loss Prevention), EDR(Endpoint Detection and Response) ・ Network based : F/W, IDS/IPS, WAF, Anti-DDoS, Anti-SPAM, DPI(Deep Packet Inspection) ・Integration & Analysis based : ESM(Enterprise Security Management), SIEM(Security Information and Event Management), TMS(Threat Management System)

03. セキュリティ監視の成熟度向上のための対応戦略

セキュリティ監視成熟度 (Maturity)を向上するためにはSOC Architectureとこれを構成しているFunctions間の関連性を理解し、これを基にセキュリティ監視の成熟度を向上するための考慮が必要である。下記の図はセキュリティ監視の力を強化するためにAutomation, AI/MLなどを適用して異常検知(Anomaly Detection)、行為分析(Behavior Analytics)、予測検知(Predictive Detections)などができるようにする。特にセキュリティ監視の成熟度を上げるためにはセキュリティ管理プラットフォーム(Log Collection Platform, Ticketing System, Security Incident Management Platformなど)が必ず必要で、SOC ArchitectureのFuctionsごと、成熟度を向上するための対応戦略が必要である。

【▲ SOC capability progression model(参考：Accenture)】

セキュリティ監視センター(SOC)の成熟度は大きく5つのレベルで区分できる。まずLeve1として基本的なセキュリティモニタリング及び対応、ログデータの収取及び管理などを実施し、Level2では一か所での集中したモニタリング体系樹立及び脅威インテリジェンスワークフロー(Threat Intelligence Workflow)、セキュリティアラートによる優先順位の指定など、収集されたログに対する分析力を強化することになる。Level3では標準化した一貫的なセキュリティモデルを適用し、繰り返す作業を最少化することでインシデント対応(Incident Response)に対する計画を策定し、先制的な脅威識別及び自動化されたワークフロー(Automated Workflow)でモニタリング及び運用側面が強化された組織構成段階を意味する。Level4では脅威検知及び分析のために、サーバ及びエンドポイント、ネットワークフォレンジックツールなどで自動化されたワークフローを構成することで適量的な側面で効率性を高めることができる。最後の段階であるLevel5では全てのセキュリティ運用において持続的な改善を行い、セキュリティ監視レベルの向上を計り、予防機能としての脆弱性識別と、高度化されたSIEM Architectureを構成できることで柔軟性(Resilience)が確保できる。

1) 組織側面のSOC成熟度向上方法

セキュリティ監視センターの成熟度を向上するために先ず実施すべきことは、現状のセキュリティ監視センターのレベル(AS-IS)を測定して、今後目標にする「Cybersecurity Architecture」を実現するためのセキュリティ監視センターの成熟度レベル(TO-BE)を設定が必要である。前回記事（https://cyberfortress.jp/2022/04/26/level-up-soc/）のSOC Functionsで、セキュリティ監視センターを構成するために多様な要素について説明したようにセキュリティ監視センターを運用するためには多様な利害関係者、プロセス、技術、人材などが必要である。その為、セキュリティ成熟度が測定できる多角的な指標が必要である。セキュリティ監視センターの成熟度を測定するためのモデルであるCMM(Capability Maturity Model)を適用するする場合、成熟度の測定結果は下記のように△ Business, △ People, △ Process, △ Technology, △ Serviceの5つの項目で分類し、それおれの結果から、NIST CSF基準の指標化ができる。

【▲ SOC-CMMで測定したSOC成熟度をSOC-CMM基準で出力した結果(参考：イグルーコーポレーション)】

【▲ SOC-CMMで測定したSOC成熟度をNIST CSF基準で出力した結果(参考：イグルーコーポレーション)】

標準化されたセキュリティ監視センターの成熟度指標を活用ことでセキュリティ監視センターで保護すべき資産の構成及び現状を理解することができ、これを通じて成熟度の向上が必要な領域を可視化することができるようになる。こうすることで、より高度化されたセキュリティ監視センターの実現ができるようになる。

2)技術側面のSOC成熟度向上方法

セキュリティ監視センター(SOC)の成熟度を向上及び高度化させる領域を確認したら脅威情報を分析し、活用するための技術的なサポートが必要である。最近、セキュリティ監視センターの成熟度向上を大きくサポートしているのは断然、サイバー脅威インテリジェンス(CTI, Cyber Threat Intelligence)である。CTIはセキュリティ監視センターを構成している組織の内部・外部からのログを収集及び分析して、脅威の可視性を確保する行為で、これまで下記の左側にある主に定型化されたインテリジェンスであったが、昨今では右側インテリジェンスを活用するためクローリング、ビックデータ、AI/MLを基盤としたCTI Platformなどが必要となる。

【 ▲ Threat Intelligence Spectrum(参考：Palantir, GOVCON 6)】

下記ののようなCTI Platformでは多様なサービスエリア(Architecture, Security Collaboration, Risk Managementなど)から発生するイベントを収集、蓄積、分析、活用、可視化することを通してThreat Hunting, Automation, Orchestrationなどができるよになる。

【▲ Cyber Threat Intelligence Informed Cyber Security Services(参考：correlatedsecurity, Jurgen)】

04.最後に

我々はサイバー環境の変化によって今までにない新たなセキュリティ脅威に直面している。技術とプロセスの集約体であるセキュリティ監視センター(SOC)は高度化・知能化されたセキュリティ脅威に対応するために絶えない変化を図っている。下記のようにネットワーク基盤のモニタリング環境(Network Operation Center)からエンドポイントとクラウドエリアまでをまとめるサイバー対応センター(CyberDefense Center)に変化し、多様なセキュリティ技術とセキュリティメカニズムが発展してきている。

【▲ Evolution of the SOC(参考：ISACA JOURNAL VOL 5, ‘The Evolution of Security Operations and Strategies for Building an Effective SOC’)】

インフラ環境の拡張と技術発展は大量のデータ分析を可能とし、洞察力(Insight)を持たせセキュリティ監視の新たな地平を開くことになった。セキュリティ監視サービスのための運用環境であるセキュリティ監視センターはStandard, Component, Specificationの3つの要素が有機的に構成されることで効果を発揮できる。どんだけ良い技術と人材を持っていても標準化された運用方針をもっていなければ効果を最大限に発揮することはむずかしい。逆に良い運用方針と指針を持っていたとしても技術と人材がなければ実現化が難しく、望ましい結果を導出することは不可能に近い。

セキュリティ監視というのは思うより多様な利害関係と技術、組織、人材などが結合されて作り出す技術の塊ともいえる。従って今からでも説明していたセキュリティ監視センターの運用に必要な要素の理解を基に現在の組織でセキュリティ監視成熟度を考慮してより対応力の高いセキュリティ監視センター運用のための戦略を樹立することが必要である。