サイバー・セキュリティについての話題は、もっぱらセキュリティ・オペレーション・センター（SOC）のツールやその活動に関連する内容に集中する傾向があります。組織のセキュリティ戦略おいてSOCが重要であることは言うまでもありません。しかし、SOCは単にセキュリティの範囲を超え、より広いサイバー防御戦略に含まれるものであることを認識することが肝要です。SOCを含むサイバー防御態勢の構築、維持、強化といった取り組みが、組織の優先事項として適切に取り組まれない場合、最新の攻撃から組織の環境と業務を守るための人材、プロセス、能力は有効に機能することができません。

強固なサイバー防御は、侵害を防ぎ、攻撃の影響を軽減し、脅威に直面する中でも組織がその業務活動を継続できるようにするのに必要です。Mandiantの「The Defender's Advantage – 防御側の優位性」では、最前線の経験と知見を備えたMandiantのインテリジェンスおよびコンサルティングのエキスパートたちが、サイバー防御のために構築すべき6つの重要な機能について、攻撃に対してそれらを有効に実装するためのアプローチについて説明しています。

これらのサイバー防御機能は、サイバーセキュリティプログラム全体の中でそれぞれの領域で機能しますが、それと同時に、相互に影響し合い、能力を最大化することで、最大限の成果を得ることができます。

1. インテリジェンス

サイバー脅威インテリジェンスは、サイバー防御におけるすべてのアクションの指針となります。脅威情報はサイバー防御の生命線であり、攻撃者、その標的、および動機に関する洞察を提供し、脆弱性と攻撃による潜在的影響を解き明かす手助けをします。脅威インテリジェンスが組織のセキュリティチーム内で完全に機能するようになると、セキュリティチームは自分たちが直面している脅威をより深く理解し、より多くの情報に基づいた意思決定ができるようになり、組織の侵害リスクをより正確に把握することができるようになります。

2. ハンティング

ハンティングとは、現在進行中、または過去に発生した侵害の証拠を探すために環境を調査することです。今日の変化する状況において、アクティブな脅威のハンティングはサイバー防御に必要かつ重要な要素となっています。ハンティング機能が適切に実装されている場合の利点は、進行中の攻撃を検知できることだけ ではありません。ハンティングは、これまで未知の脆弱性やセキュリティ・ギャップを発見し、防御を強化することにも役立ちます。

3.検知

悪意のある活動を検知し調査することは、SOCチームが行う従来からの基本的な活動です。しかし、圧倒的に膨大な量のアラートに直面している多くの組織にとって、SOCの活動を最適化することは常に困難な課題となっています。SOCの活動が最適化されていれば、チームは脅威インテリジェンスを活用して、検知例を管理、評価、優先順位付けすることができます。そうすることで、導入しているセキュリティ対策技術が検知した異常な挙動に優先順位を付け、効率的に調査を行うことができます。こうした、今日のSOCチームが直面しているプレッシャーは、タスクを自動化するテクノロジーの導入やSOCプロセスの見直しと刷新、および高度なスキルを持つアナリストを加えることによるSOCチームの増強によって緩和することができます。

4. 対応

対応機能は、疑わしい活動が侵害に該当するかどうかを確認し、該当する場合はそのインシデントを封じ込め、業務を復旧させ、さらに環境から攻撃者の痕跡をすべて根絶する責任を負います。インシデント対応プロセスでインテリジェンスを活用すれば、インシデント対応時間を短縮し、侵害の再発を防止することができます。対応の領域から得られる成果は、インシデントから学んだ教訓を整理し、それを生かしてインテリジェンスとオペレーションを強化することを含め、将来のためのプロセスの見直しにも及びます。

5. 検証

目標を定めたテストと継続的なセキュリティ製品の有効性検証は、サイバー防御のもう一つの重要な機能です。これらの活動は、組織のリスクを軽減するために導入されたシステムやツールを客観的に評価するものです。実際に観測されている攻撃をキルチェーンネットワーク上で安全に展開することで、組織はセキュリティインフラにおける想定外のギャップや対策の重複を特定し、最適化の機会を得ることができます。また、人、プロセス、ツールの各要素をサイバー防御全体を通して検証することは、組織が侵害に対して効果的に対応できるという自信を獲得するために重要な役割を果たします。

6. コマンド＆コントロール

サイバー防御の中心は、インテリジェンス、ハンティング、検知、対応、検証の各機能が組織全体のセキュリティミッションに整合していることを徹底するための指揮統制機能です。サイバー防御領域では、主に人とプロセスに焦点を当て、重要な資産を侵害から守るために、すべての機能にわたって方向性とリソースの優先順位を示します。コマンド＆コントロールは通常、他の機能を担うチームメンバーで構成され、侵害発生時には、危機管理コミュニケーションや他のビジネス上の要求との整合性など、サイバー防衛態勢全般の指揮をとるために機能します。

防御側の優位性を最大化

サイバー防御が攻撃の防止と影響の軽減、および侵害の特定と封じ込めを向上させるために果たす大きな役割を理解するには、組織はSOCのその先を見据える必要があります。サイバー防御が十分に運用されていない場合、組織はそれぞれ独立したセキュリティ活動が相互に連携することなく行われ、取り組みが重複したり、情報共有が欠如したり、運用が非効率的で効果的でなかったりといった状況に陥り、侵害が発生する前に重要なセキュリティギャップを特定できないといった問題が発生することになります。

サイバー防御に必要な要素を6つの統合された機能に分割することで、企業はどの領域の能力にギャップがあるのかを特定し、ビジネスを守るためのより強力な防御態勢を築くための方策を講じることができるようになります。このような指針を持って考えることで、組織は、どの領域を内部のリソースで対応するのが最適なのかを判断し、一方でどの領域に外部のエキスパートの支援が必要なのかを特定することができます。また、どの部分に時間のかかる手作業の運用プロセスがあるのかを把握することで、それを軽減するためにどのような手段が考え得るかを検討し、投資投資することができます。

Mandiantの「Defender’s Advantage - 防御側のの優位性」は、あらゆる業界の組織がサイバー防御を活性化し、成熟させることによって、攻撃者に対して防御側が本来持っている防御側の基本的な優位性を獲得する方法を示しています。堅牢なサイバー防御を構築するためのヒントを、ぜひ参照してください。

関連リソース：

Defender’s Advantage – 防御側の優位性エグゼクティブ・サマリー（PDF）

• 組織のサイバー防御に必要な6つの機能についての概要を紹介しています。

Webセミナー：[エキスパートに聞く] 防御側の優位性 – 6つの機能で紐解くサイバー防御態勢強化の考え方と実践のヒント

• 自組織のSOC機能を再点検するためのポイントや、外部ベンダーのサポートを得るべき領域の特定など、戦略的かつ実践的な視点でサイバー防御態勢強化のためのヒントを解説します。