セキュリティ運用成熟度モデル(2):成熟度レベルについて
2023 年 3 月 23 日 Iratxe Vazquez 著
セキュリティ運用成熟度モデルによって企業の現在のセキュリティ能力を評価することで、脅威の検出とレスポンスに要する時間を短縮し、サイバーリスクとインシデントコストを削減し、サイバーレジリエンスを高め、長期的に成熟する計画を策定できます。その前進における各レベルでは、前レベルをベースとして、MTTD(平均検知時間)/MTTR(平均レスポンス時間)の短縮を目標とし、組織のセキュリティ運用能力を強化する追加のテクノロジとプロセスの改善を加えて行くことになります。
セキュリティ運用成熟度モデルにおけるレベル
セキュリティ運用モデルは、組織のセキュリティ体制を改善するために、保護から検知、レスポンス、教訓分析に至るまで、脅威ライフサイクル管理を定義する段階で構成されています。
次のリストでは、エンドポイントセキュリティの各レベルを説明し、各レベルで実装されるべき重要な技術およびワークフロー/プロセス機能を提示しています。
レベル 0 – ミニマル
1. 予防志向(ファイアウォール、ウイルス対策などの導入)、受動的な防御アプローチ。
2. テクノロジと機能が十分に連携していない。
3. 正式なインシデント検出・レスポンスプロセスが存在しない。
4. セキュリティポリシーが未定義、または基本的なものにとどまる。
5. 環境寄生型の未知で高度な脅威に対して、対策がなされていない。
レベル1 – 受動的
- 攻撃対象領域縮小の実践が不十分:セキュリティコントロールの健全性モニタリング、脆弱性評価、パッチ管理、特に無防備なアセットの検出などが不十分である。
- ログやイベントの収集と保持が、主にコンプライアンスや監査要件によってのみ行われている。
- 正式なインシデント検出・レスポンスプロセスが存在しない。
- 環境寄生型の未知で高度な脅威に対して、対策がなされていない。
- 連続的に繰り返し発生する不審なアクティビティを特定する技術を持たない。
レベル2 – プロアクティブ
- エンドポイント検出レスポンス(EDR)およびネットワーク検出レスポンス(NDR)ソリューションが導入されているが、統合は最小限に止まり、別々に動作している状態である。
- 強力で成熟したセキュリティポリシーが、ヒューマンエラーを避けるためにあらかじめ定義された設定テンプレートで展開されている。
- データ漏洩に備えるためのログデータおよびセキュリティイベントの一元化が最小限であり、サーバや重要なアセットに優先的に適用されている。
- 効果的なアラート評価と優先順位付けのための人材とプロセスが不足している。
- 保護されていないエンドポイントなどの死角を狙った未知の高度な攻撃を行うサイバー犯罪者を除き、サイバー犯罪者に対してより強いレジリエンスを持つ。
レベル3 – 管理されている
- 高度な EDR/NDR セキュリティソリューションにより、継続的な監視、異常検知のためのふるまい分析、環境に潜む脅威の封じ込めのための基本的かつ正式なプロセスを確立している。
- 全体的なログデータおよびセキュリティイベントが一元化されている。
- IoC ベースの脅威インテリジェンスがアナリティクスとワークフローに統合されている。
- 既知の脅威の TTP(戦術、技術、手順)を検出するセキュリティアナリティクスを行なっている。
- 基本的な MTTD/MTTR による運用メトリクスを活用している。
レベル4 – 最適化されている
- 全体的なログデータの保存とイベント集約がなされており、APT を調査するのにも十分な保持時間である。
- 組織横断的なケース管理、コラボレーション、自動化。
- 業界固有の IoC および TTP ベースの脅威インテリジェンスをセキュリティ制御とワークフローに統合している。
- SOC の専門家が主導で、AI/ML ベースのふるまいベースによる、異常検知のための高度なセキュリティ分析を行なっている。
- プレイブック、教訓、SOC プロセスおよびツールの継続的な改善による、確立され、文書化された調査およびレスポンスプロセスを持つ。
- SOC アナリスト、レスポンダ、ハンターを含む、24 時間 365 日の社内またはSOCaaS のチームがいる。
- 高度な MTTD/MTTR の運用メトリクスや 過去のトレンドデータを活用している。
熟練のセキュリティ人材を持たない組織は、必要な設備投資を行って有能なスタッフによるレベルアップを図っている、経験豊富なマネージドセキュリティプロバイダ(MSP)と連携すべきです。もちろん、十分なリソースと経験豊富な人材を抱えているのであれば、企業は独自で最新式 SOC を構築することも可能です。
最新式の SOC、MDR サービス、およびセキュリティ運用成熟度モデルについては、以下の電子書籍(英語)をダウンロードしてご確認ください:
Modern SOC and MDR services: what they are and why they matter
Empowering the SOC: Security Operations Maturity Model
最新式の SOC についてより詳しく知りたい方は、以下の過去記事もご参照ください。
最新式 SOC と MDR サービス(1): その内容と重要性
https://www.watchguard.co.jp/security-news/modern-soc-and-mdr-services-series-i-what-they-are-why-they-matter.html
最新式 SOC と MDR サービス(2): 6 つの利点と重要性
https://www.watchguard.co.jp/security-news/modern-socs-and-mdr-services-series-ii-6-benefits-and-why-they-matter.html
最新式 SOC と MDR サービス(3): SOC のさまざまな役割
https://www.watchguard.co.jp/security-news/modern-soc-and-mdr-series-iii-the-different-roles-within-a-modern-soc.html
最新式 SOC と MDR サービス(4): 展開モデルの種類
https://www.watchguard.co.jp/security-news/modern-socs-and-mdr-services-iv-deployment-models.html
最新式 SOC と MDR サービス(5): 最新式 SOC の主な役割
https://www.watchguard.co.jp/security-news/modern-socs-and-mdr-services-modern-soc-key-functions.html
セキュリティ運用成熟度モデル(1): SOC のパフォーマンスを測定する
https://www.watchguard.co.jp/security-news/security-operations-maturity-model-i-measuring-soc-performance.html