2023/03/16

セキュリティ運用成熟度モデル(1): SOC のパフォーマンスを測定する

2023 年 3 月 16 日 Iratxe Vazquez 著

企業は、業務の費用対効果が高いか、望ましい結果が得られているかどうかをチェックするために、あらゆる領域でパフォーマンスを測定することが必要です。セキュリティ運用プログラムがビジネス目標に合致していることを証明する優れた方法の 1 つは、効率性と有効性を示す指標を使用することです。

MTTD と MTTR とは、現行のセキュリティ運用において、既存のセキュリティ管理をかいくぐって侵入してくるサイバー脅威をいかに速く検知、レスポンスできるかを測定し、レポートするために使用する 2 つの KPI です。

これらの指標はどのようなもので、どのように計算されるのか、以下で解説します。

MTTD(検出までの平均時間)の定義と算出方法

MTTD とは、セキュリティ運用チームが組織のネットワークに潜む脅威を検知し、特定するまでにかかる時間のことです。セキュリティ運用の有効性を示すもので、脅威ハンター、SOC アナリスト、レスポンスチームが、ネットワーク上の異常な挙動を監視、分類、調査し、セキュリティ侵害が発生した場合に攻撃者に対応するまでのスピードと能力を算出します。チームにおける目標は、この指標をできるだけ低く保つ、すなわち組織のネットワークが侵害された場合の影響を小さくすることです。

MTTD は、個々のインシデントに対して算出される指標であり、攻撃の最初の兆候とインシデントケースの作成日(つまり、脅威が完全な調査を行うために分類された時点)の間の日付/時間の差分に基づいて計算されます。各インシデントの MTTD は、特定の期間におけるすべてのインシデントの MTTD を計算するために使用されます。

MTTR(レスポンスに要する平均時間)の定義と計算方法

MTTR とは、検出された脅威に対してチームが調査し、レスポンスを行うまでにかかる時間を示しています。この指標は、セキュリティ運用の有効性を判断するものです。インシデントの発生を示す異常な挙動の特定とコリレーション、徹底した調査、対応、ネットワーク上の脅威の封じ込めから根絶までを担う SOC のアナリストと、レスポンスチームの効率性を示しています。この指標が高い場合、SOC による脅威の調査やミティゲーションを支える領域で使われているテクノロジが遅れている可能性や、自動化が不十分な可能性があります。このような場合、企業ネットワークにおける脅威は、データ漏洩を引き起こし、損害賠償として極めて高額な費用を発生させる可能性があります。1 つのインシデントに対するレスポンスタイムは、ケース作成日、つまり調査開始日からインシデントが解決されるまでの日時差に基づくものです。MTTD の場合と同様に、チームが各インシデントの MTTR を用いて、特定の期間内のすべてのインシデントのレスポンスタイムを算出します。

セキュリティ運用全体が検知しレスポンスするまでにかかるスピード次第で、侵害を時間内に封じ込めることができる場合もあれば、深刻なデータ漏洩や莫大な運用コスト増、風評被害に発展する場合もあります。したがって、MTTD や MTTR などの基本的な指標を適用することで、SOC チームとステークホルダーは、運用パフォーマンスをさらに深く理解し、適切な投資判断と経営陣への価値の実証が可能になります。

SOC の成熟度を高め、MTTD と MTTR を削減する

MTTD と MTTR の率が高いからといって、必ずしも使用されているセキュリティ戦略が正しくないというわけではありません。しかし実際に攻撃が発生した場合にインフラストラクチャ環境のダウンタイムを短縮するため、SOC が何らかの追加対策を実施する必要はあります。

組織のセキュリティ運用の成熟度が上がれば、検知・レスポンス能力の有効性が向上し、MTTD と MTTR のレートは低下することになります。これらの指標は、セキュリティ運用の有効性、パフォーマンス、説明責任に関する情報を提供するためのものになります。これを念頭に置くことで、SOC はプロセス、応用技術、専門人材にあるボトルネックを特定することも可能で、見直しが必要なリソースやプロセスも特定できるようになります。

すべてのビジネスプロセスは、評価を実施し、できる限りの改善を行う必要があります。電子書籍「Empowering the SOC: Security Operations Maturity Model(英語)」では、セキュリティチームが抱える今日の課題に対処するために必要な重要な機能の概要を説明し、優れた SOC を構築する方法に関するインサイトを提供しています。

最新式の SOC についてより詳しく知りたい方は、以下の過去記事もご参照ください。

最新式 SOC と MDR サービス(1): その内容と重要性 
https://www.watchguard.co.jp/security-news/modern-soc-and-mdr-services-series-i-what-they-are-why-they-matter.html
最新式 SOC と MDR サービス(2): 6 つの利点と重要性
https://www.watchguard.co.jp/security-news/modern-socs-and-mdr-services-series-ii-6-benefits-and-why-they-matter.html
最新式 SOC と MDR サービス(3): SOC のさまざまな役割
https://www.watchguard.co.jp/security-news/modern-soc-and-mdr-series-iii-the-different-roles-within-a-modern-soc.html
最新式 SOC と MDR サービス(4): 展開モデルの種類
https://www.watchguard.co.jp/security-news/modern-socs-and-mdr-services-iv-deployment-models.html
最新式 SOC と MDR サービス(5): 最新式 SOC の主な役割
https://www.watchguard.co.jp/security-news/modern-socs-and-mdr-services-modern-soc-key-functions.html