最新式 SOC と MDR サービス(3): SOC のさまざまな役割
2023 年 2 月 17 日 Iratxe Vazquez 著
最新の SOC(セキュリティオペレーションセンター)は、デバイスやネットワークにアクセスした攻撃者を検知するために、高度に専門化されています。複雑な環境内に構築された SOC では、さまざまな役割を与えられたサイバーセキュリティの専門家集団がそれぞれの業務を担当しています。これらの専門家は、攻撃をできるだけ早く検知、分析、対応するため、リアルタイムで大量のデータを処理できるツールを用いて、一連のプロセスを実行しています。
最新式の SOC の主な役割
サイバー犯罪者は、1 年間 365 日活動しています。標的のセキュリティの隙を見つけ次第ただちに攻撃できるようにシステムに潜んでいます。つまり SOC、特にここ最近の SOC は、24 時間 365 日、常に同じ強度で稼働し、チームが提供するカバレッジが、悪意のある活動を抑制するのに十分なものである必要があります。最新の SOC の主な役割には、次のようなものがあります。
セキュリティアナリスト
セキュリティアナリストには 3 つの階層(ティア)があり、それぞれの階層に異なる仕事が割り当てられています。
- ティア 1 のセキュリティアナリストは、アラートをプロアクティブに監視して分類し、異常や攻撃の指標を検出して根本原因を特定、改善策を提案します。この層のアナリストは、実際のインシデントと問題のないアラートを区別するため、効率性が非常に重要になります。また、セキュリティツールや監視ツールの設定も担当します。
- ティア 2 のアナリストは、調査係とも目され、レスポンスチームと密接に連携して作業を行います。セキュリティインシデントを調査し、何が起きたか、どのシステムが影響を受けたか、どの技術がいつ、なぜ使われたかを判断する責任を負います。その後、レスポンスチームと協力して、今後同様の攻撃を防ぐためのレスポンス策と改善策を策定します。この種のアナリストは、組織の予防措置の中に見つかった弱点を検証し、組織のレジリエンスを強化することを目指します。
- 最後に、ティア 3 のアナリストは、SOC チーム内でもエキスパートとみなされます。複雑なインシデントが発生し、新たな行動データ分析やセキュリティインテリジェンスが必要となった場合に、ティア 2 のアナリストを支援します。
脅威ハンター
脅威ハンターは、検知技術よりも、攻撃者の主要なテクニックやふるまいに関する専門的な知識を重視したアプローチをとります。脅威ハンターの仕事は、既存の制御を回避してくる未知の脅威や巧妙な脅威を見つけ出すことです。脅威の迅速な特定とレスポンスを目指し、プロアクティブな視点から、組織のセキュリティを評価して脅威の滞留時間を短縮します。
レスポンスチーム
封じ込め、緩和、根絶のための戦略を策定し、展開します。また、100% 効果的なレスポンスのために必要なアクションをレスポンスチームが特定し、その指導によって社内の IT 部門やセキュリティ部門など、第三者チームがレスポンスする場合もあります。
SOC マネージャ
特定の技術的なタスクではなく、管理および運用タスクの面でチームをリードする責任者です。予算策定、戦略策定、SOC メンバーの管理、業務調整、経営陣が設定した目標の達成、SOC のソリューションやツールの購入、インシデントレポートの確認、SOC の活動報告書の作成など、経営陣や、顧客の CISO(中央情報セキュリティ責任者)に提出する管理業務を担当する役割です。
アーキテクチャチーム
SOC の複雑なプロセスに適したツールのテスト、評価、提案を通じて、SOC のインフラおよびアプリケーションのアーキテクチャの作成と維持に責任を持ちます。他のチームや専門家と密接に連携しながら、高度な脅威の検知効率を高め、トリアージや調査を迅速に行い、複数のドメインが連携したレスポンスをより迅速に行うための新しいツールやプロセスを提案、評価、開発、テストします。これにより、レスポンスチームが組織から脅威を根絶する決断を下した際には、攻撃者が隠れる場所をなくし、再び攻撃する機会を徹底して無くします。また、セキュリティコンプライアンスを確保することも任務のひとつです。社内および業界のフレームワークに対してセキュリティ対策を文書化、順守し、常に更新することが求められます。
最適なパフォーマンスを実現するためのタスクの定義
前述のとおり、最新の SOC チームは、最適化され、十分に訓練された上で作業プロセスを展開できるような組織構造を持っている必要があります。また、チームメンバーそれぞれが自分の役割を認識し、ネットワーク内に潜む攻撃者をできるだけ早く検知し、対処できるようにする必要もあります。
効率的な最新式の SOC を構築するには、導入されるチーム、プロセス、および技術ツールが重要な要素となります。セキュリティ運用チームを最新にするために必要なすべての情報は、電子書籍「Modern SOC and MDR: What they are, why they matter(英語)」で確認することができます。
最新式 SOC と MDR サービス(1): その内容と重要性
https://www.watchguard.co.jp/security-news/modern-soc-and-mdr-services-series-i-what-they-are-why-they-matter.html
最新式 SOC と MDR サービス(2): 6 つの利点と重要性
https://www.watchguard.co.jp/security-news/modern-socs-and-mdr-services-series-ii-6-benefits-and-why-they-matter.html