2023 年 3 月 9 日 Iratxe Vazquez 著

SOC の基本的な役割は、企業のサイバーリスク管理の支援です。これはどのようなレベルにおいても変わりはありませんが、サイバー脅威の高度に伴い、SOC 運用の仕組みは変化しています。脅威からの保護、そしてレスポンスを成功させるため、SOC は、企業のアクティビティを詳しく把握し、繰り返しの多い重要な機能を自動化し、アナリストが、脅威のハンティングや脆弱性の管理など、より価値のある業務に集中できるようにする必要があります。

最新式 SOC の主な役割

1. 予防的なセキュリティ:
   既存システムの定期的な保守と更新、ファイアウォールポリシーの更新、脆弱性のパッチ適用、アプリケーションのホワイトリスト化、ブラックリスト化など、攻撃を困難にし、最終的に攻撃を断念させるためのすべてのアクションが含まれます。
2. データレイクの正規化と管理:
   最新型の SOC は、組織内のネットワーク、ユーザ、エンドポイントのアクティビティ、通信に関するイベントやログを収集、維持し、定期的にレビューしています。このデータは、脅威ハンターが脅威要因を発見するのに役立ち、修復やフォレンジックに使用されます。
3. 継続的なプロアクティブモニタリングと不審なアクティビティの検出:
   最新式の SOC が使用するツールは、24 時間 365 日アクティビティを監視し、疑わしいアクティビティにフラグを立てます。24 時間体制で監視することで新たな脅威を特定し、被害の防止、軽減を容易にします。監視ツールはふるまい検知を自動化し、人間が行うトリアージと分析の量を最小限に抑えます。
4. IoC（セキュリティ侵害の痕跡情報）と攻撃のトリアージ、優先順位付け、およびコリレーション:
   自動化されたセキュリティ分析（ML/AI）によって、SOC アナリストは各アラートや攻撃の指標を調べ、誤検知を取り除き、脅威の重大性を判断します。これにより、新たに発生した脅威を適切にトリアージし、最も緊急性の高い問題を最初に処理することができます。
5. 脅威ハンティング:
   これはアナリストを中心としたプロセスで、自動化された予防・検知コントロールが見逃した隠れた高度な脅威を、プロアクティブに発見し、被害が発生する前に阻止します。また、攻撃の指標を調査する発端となるメカニズムを自動化して、脅威を早期に検出します。
6. 根幹要因の調査:
   インシデントの発生後や攻撃中に、SOC は、何が、いつ、どのように、なぜ起こったのかを正確に把握する責任を負います。この調査において、SOC アナリストは、ログ、イベント、脅威インテリジェンス、およびセキュリティ分析を使用して、効率的な対応と同様の問題の防止に役立てています。
7. 脅威レスポンス:
   インシデントが確認されるとすぐに、SOC は最初のレスポンダとして、エンドポイントの隔離、有害なプロセスの終了、ファイルの削除などの封じ込めアクションを実行します。その目標は、事業継続への影響を軽減しつつ、インシデント対応をすることです。
8. 修復と回復：
   インシデントが発生した後、SOC はシステムの復旧に取り組みます。これには、エンドポイントのワイプや再起動、システムの再構成、またランサムウェア攻撃の場合は、ランサムウェアを回避するための実行可能なバックアップの展開などが含まれます。
9. 再発防止:
   見過ごされがちですが、再発防止のためのセッションは、組織のセキュリティ体制を改善し、再びセキュリティインシデントに直面した場合の備えとして極めて重要です。このセッションは、組織のセキュリティリスクとインシデントレスポンスのパフォーマンスを評価し、課題を特定して、今後のインシデントレスポンス能力を向上させるのに役立ちます。
10. セキュリティ運用モデルの最適化:
    効果的な保護戦略には、最適化されたセキュリティ運用を実現する適応型セキュリティアーキテクチャが必要です。統合、自動化、オーケストレーションによって効率を高め、組織のセキュリティ体制を向上させることが可能です。

SOC 機能の拡張を可能にするテクノロクジ

SOC の各機能は、テクノロジに大きく依存しています。適切な技術的アプローチは、脅威要因の検出とレスポンスまでの時間を最小化する際に、組織の能力とコストに大きく影響します。セキュリティ運用チームは、理想として以下のような機能すべてを提供する最新かつ高度に統合されたクラウドベースのプラットフォームを求める傾向があります:

統合された可視性と検索: セキュリティアラートへの即時アクセスや 詳細なテレメトリなど、分散した IT インフラ全体からすべてのデータを一元的に検索し、リアルタイムの可視化によって脅威の調査やインシデントレスポンスを加速させます。

ホリスティックな脅威分析: フォレンジックデータに人工知能、TTP ベースのシナリオ分析、深いコンテキスト分析を適用することで、高度な脅威を検出し、攻撃対象領域全体にわたるすべての脅威を正確に優先順位付けします。

インシデントケース管理: 脅威の調査やインシデント対応作業を管理・加速するための集中的で安全なケース管理プラットフォームにより、セキュリティチームが連携して効率的なワークフローに取り組むことができる機能です。

タスクの自動化: これは脅威の調査とインシデント対応をサポートするための、ルーチンワークや時間のかかるタスクの自動化のことです。脅威の封じ込めと無力化のための、緩和策やレスポンスの自動実行も含みます。

オペレーションメトリクス: ビジネスの主要業績評価指標（KPI）やサービスレベル合意（SLA）の評価指標を効率的に取得し、報告する機能です。

セキュリティ運用チームを時代に即したものへと変革するために必要な情報は、以下の電子書籍にすべて掲載されています。電子書籍「Modern SOCs and MDR services: what they are and why they matter and Empowering the SOC: Security Operations Maturity Model（英語）」

最新式 SOC と MDR サービス（１）: その内容と重要性　
https://www.watchguard.co.jp/security-news/modern-soc-and-mdr-services-series-i-what-they-are-why-they-matter.html
最新式 SOC と MDR サービス（２）: 6 つの利点と重要性
https://www.watchguard.co.jp/security-news/modern-socs-and-mdr-services-series-ii-6-benefits-and-why-they-matter.html
最新式 SOC と MDR サービス（３）: SOC のさまざまな役割
https://www.watchguard.co.jp/security-news/modern-soc-and-mdr-series-iii-the-different-roles-within-a-modern-soc.html
最新式 SOC と MDR サービス（4）: 展開モデルの種類
https://www.watchguard.co.jp/security-news/modern-socs-and-mdr-services-iv-deployment-models.html