2022 年 11 月 15 日 Iratxe Vazquez 著

サイバーセキュリティが不足している場合、中小企業や企業を無差別にリスクに晒すことになります。ビジネスに及ぼす影響とその理由は以下の通りです。

1. 規模や業種を問わず、セキュリティの侵害を免れるビジネスはない。
2. 脅威の数の増加とその高度化に、組織はついていけない。脅威の状況は劇的に変化している。
3. データ侵害が成功すると、時間、リソース、評判、金銭の面で損害が発生する。侵害の検出、緩和、後始末にかかる費用に加えて、長期的なコストが発生。
4. 在宅勤務やクラウドの利用拡大による攻撃対象の拡大。
5. 検知と対応時間が不足している。ハッカーは、標準的なセキュリティソリューションでは検知されず、システム内で水平移動して目的を達成するのに十分な時間がある。
6. 特定のサイバーセキュリティ要件のコンプライアンス義務に苦慮している。

企業がこのようなサイバーセキュリティのリスクを回避するため、多くは内部または外部のSOC（セキュリティオペレーションセンター）に委託しています。

一般に SOC は組織全体のサイバーセキュリティ戦略を実施し、サイバー攻撃を監視、評価、防御する取り組みを調整していますが、最新式の SOC では、さらにインシデントの検出、対応、回復を支援することで、攻撃者がリソースにアクセスできる時間を短縮することにも重点を置いています。

従来の SOC と最新の SOC の違いについて理解を深めておきましょう。

SOC とは、情報セキュリティチームがログやアラートを通じて組織のセキュリティを常時監視分析する施設です。
SOC の主な目的は、テクノロジ、人、プロセスを利用し、サイバーセキュリティインシデントを検出、分析、対応することです。

しかし脅威の量が増加、高度化し、企業の経済や評判へのダメージが増大し、攻撃対象は拡大し、扱うべきサイバーセキュリティデータとアラートの量は指数関数的に増加しています。そこで近年 SOC に求められる要件も多くなっています。

最新の SOC は、従来の SOC の機能に加えて、ネットワーク、エンドポイント、アプリケーション、ユーザの行動を監視し、異常な行動をプロアクティブに検出し、セキュリティインシデントや攻撃の指標を調査し、脅威に対して即座に対応します。

これらの脅威は、既存のセキュリティ制御をバイパスして組織環境に潜り込み、企業アセットへのアクセスや侵害の機会を狙っています。最新式 SOC は攻撃者の先を行くことで、その検知と対応を予測し、被害が発生する前に阻止、侵害を回避、影響を緩和し、インシデントコストを低減します。

最新の SOC の構成要素

最新の SOC は 24 時間 365 日稼働しており、従業員はシフト制でアクティビティを監視し、異常な行動を検知し、監視の目をくぐり抜けようとする脅威を軽減しています。

最新の SOC のスタッフは、他のチームや部門と密接に連携することもありますが、一般的には優れたサイバーセキュリティのスキルを持つセキュリティアナリストやエンジニアを自前で抱えており、セキュリティ上の問題を発見した際に迅速に対処できるようになっています。

従来の SOC は、セキュリティインシデントが発生すると、あまり深く掘り下げることなく迅速に修正策を探す傾向にありました。しかし最新式の SOC は、ネットワークに侵入した最初の段階で脅威を発見して探し出すというプロアクティブな行動を取り、行動経路、脅威グループ、インシデントの背後にある理由を深いところまで調査します。このプロアクティブな行動の結果として、アナリストは組織のセキュリティプログラムの弱点を特定し、将来起こりうるインシデントを回避し、脅威とその影響にさらされる時間を短縮するためにセキュリティ体制を改善する強固な計画を確立します。

リアクティブ、プロアクティブ、脅威ハンティングの各手法が、それぞれ異なるレベルで価値をもたらします。

MDR（マネージド検知 ＆ レスポンス）サービスプロバイダとは

MDR サービスプロバイダは、最新式 SOC から顧客まで、クラウドベースのインフラストラクチャを通じて、脅威の探索、プロアクティブな検知、調査、および対応機能をリモートで提供します。

MDR サービスプロバイダは、事前に定義されたテクノロジスタックを使用して関連するログ、システムアクティビティ、データ、およびコンテキスト情報を収集し、すぐに使える機能を提供します。このテレメトリが、人工知能や機械学習（AI/ML）、最新式脅威インテリジェンスなど、さまざまな技術を使用してプロバイダのプラットフォーム内で分析されます。このプロセスで専門の熟練したアナリストによる調査が可能となり、実用的な結果を提供したり、脅威の緩和や封じ込めを通じて、アクティブに対応したりすることができます。

脅威が検知されるとその重要度が確認され、インシデントを調査して根本原因と対応策を見つけるとともに、パートナーや顧客に向けて積極的な対応をしたり、対応を推奨したりします。

WatchGuard for SOC

WatchGuard for SOC は、セキュリティサービスプロバイダ、最新式の SOC、MDR サービスプロバイダが管理する、成熟したサイバーセキュリティを持つ組織のセキュリティ問題への対応と解決に特化した、一連の最先端ソリューションを提供しています。さらに、高度なセキュリティプログラムを自動化し、専門知識、テクノロジ、プロセスによってセキュリティチームを強化する製品とサービスも提供しています。これにより、他の保護を回避した脅威を発見、検出、抑制し、迅速に対応することが可能になります。

最新の eBook「Modern SOC and MDR: What they are, why they matter（英語）」をお読みいただくか、WatchGuard for SOC のページ（英語）にアクセスして、最新式の SOC と MDR サービスの詳細についてご確認ください。