{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
サイバーインテリジェンス活用によるセキュリティ課題の解決-グローバル企業のSOCにおけるサイバーインテリジェンス活用のポイント
2023-02-28
近年、海外子会社や海外拠点などのサプライチェーンを標的にしたサイバー攻撃が増加傾向にあります。これらの中には、海外拠点自体を標的とするものもあれば、最終目標である本社システムへ侵入するための足がかりとして比較的セキュリティレベルの低い海外拠点を標的とするものもあります。
また、PwCのコラム「ジオテクノロジー(技術の地政学)とサイバーセキュリティ」でも示しているとおり、サイバー空間と地政学的リスクの関連性も高まっています。そのため、攻撃者が狙う情報資産や拠点、ひいてはその目的・意図が地政学的思想の影響を受けている可能性についても留意が必要となります。
このような状況下において、グローバル展開する企業には国内外の子会社・拠点全体で均整の取れた一定のセキュリティレベルを担保するとともに、展開する事業や地域特有のリスクについても対応しながらセキュリティ管理に取り組むことが求められています。
連載「サイバーインテリジェンス活用によるセキュリティ課題の解決」の最終回として、本稿ではサイバーインテリジェンスを活用したグローバル企業におけるSOC(Security Operation Center)の運営について解説します。
グローバル企業におけるSOC運営上の課題
サイバー攻撃の監視・分析を担うSOCをグローバル企業が運営するにあたっては、以下のような課題が見られます。
①検知能力の可視化・標準化
- 各拠点でSOCを整備するにあたり、SOCサービス事業者の選定や、SIEMをはじめとするログ分析基盤の整備を個別に行うため、拠点ごとの検知能力にばらつきが発生してしまう
- 拠点間の検知能力を可視化する基準やツールが無いため、最低限必要とされる水準に満たない脆弱な箇所が見逃された状態になってしまう
- グローバル横断で最低限担保すべき検知能力のベースラインを定義するにしても、その過不足や妥当性を検証する手段がない
②継続的な高度化
- SOCを一度導入・整備した後に、監視対象機器や検知ルールの見直しが行われないため、最新の脅威に追随できずにセキュリティレベルが停滞してしまう
- グローバル共通のベースラインはあくまでも「共通的に最低限必要とされるレベル」であり、地政学リスクや各拠点で展開する事業やシステム環境の特性に応じた地域固有のリスクに対応したセキュリティレベルの向上も必要となる
これらの課題は、SOCサービス事業者のサービス仕様や現状の検知能力の必要性・十分性を見定めるだけの知見を有する自社要員の不足や、グローバルとしての共通ルールを整備するガバナンス体制の不備に起因する部分もあります。しかし、本質的には組織としての行動や判断のインプットとなるサイバーインテリジェンスの活用が課題解決の鍵を握ると言えます。
サイバーインテリジェンスを活用したSOC運営とは
グローバルのSOC運営におけるサイバーインテリジェンスの活用法を、具体的なイメージとともにご紹介します。
①検知能力の可視化・標準化
サイバーインテリジェンスを活用することで、グローバルの各SOCに求める検知能力のベースラインを「自組織を狙う攻撃」に合わせて設定することが可能となります。そのため、ベースラインと比較することで、過不足の現状の可視化が行いやすくなります。
本連載の第2回でサイバー攻撃手法の全量と、自組織を狙う脅威アクターの攻撃手法のマップをご紹介しました。このマップにグローバル各拠点のSOCの検知の現状を重ね合わせることで、例えば「拠点AのSOCは自組織を狙う攻撃手法の30%しか検知できない(全体的な検知力向上が必要)」「拠点Bは侵入フェーズの検知に偏っている(侵入後のフェーズの検知が手薄なため強化が必要)」といった具体的なアクションや投資の判断を行いやすくなります。
また、攻撃者グループ単位で攻撃手法とその対応状況も可視化できるため、例えばある攻撃手法が検知された場合に、逆引きで攻撃グループの推測できるようになるとともに、当該攻撃グループの後続の攻撃を先回りで予測し、警戒レベルを調整したり、CSIRTと連携して詳細調査を行ったりするというオペレーションが可能になります。
②継続的な高度化
新たな攻撃者グループや、既存の攻撃者グループの新たな攻撃手法の出現により、自組織を狙う攻撃手法も進化し続けているため、SOCの検知能力を停滞させることなく向上させていく必要があります。そして、ここでもサイバーインテリジェンスを活用することができます。上述のマップを最新の攻撃手法によりアップデートし、現状とのギャップを見える化することでギャップに対する打ち手を講じ、これを管理サイクルとして回すことで継続的な高度化の実現が可能となります。
また、地政学的な要素を考慮して分析されたサイバーインテリジェンスを活用することで、例えば特定の国家の後ろ盾を持つ攻撃者グループが標的とすると想定される国や知的財産に対して、拠点ごとにその検知能力をグローバル共通のベースラインに個別に上乗せする形で向上させることができます。
おわりに
このように、サイバーインテリジェンスの活用により、自組織を狙う攻撃の実態に即してグローバル全体で検知能力を向上させることが可能となります。
実施にあたっては、グローバル横断で各拠点のSOCを統括する組織的機能を設置してサイバーインテリジェンス活用の役割を持たせる、もしくはサイバーインテリジェンスを担当する組織と連携するなど、企業の組織構造に沿って適切な体制を構築することが望ましいと考えます。
本連載を通じて、サイバーセキュリティのStrategy、Operations、Technologyの一連の領域におけるサイバーインテリジェンスの活用の必要性と有効性を解説してきました。
サイバーインテリジェンスの導入や活用を検討されている読者の皆さまにとって、本連載がサイバーセキュリティ高度化の一助となれば幸いです。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
