Day 8: セキュリティオペレーション入門 - 防御的セキュリティの入門
Day 8: セキュリティオペレーション入門 - 防御的セキュリティの入門
はじめに
今回は、セキュリティオペレーションセンター(SOC)というものについて、その役割やサービスについて学び、SOCがどのようにしてシステムやネットワークを守っているのかを見ていきます。
セキュリティオペレーションセンター(SOC)とは?
セキュリティオペレーションセンター(SOC)は、サイバー攻撃や不正アクセスなどのセキュリティ脅威から企業を守るために、ネットワーク、サーバ、データベース、エンドポイントデバイス(PCなどネットワークに接続される最終的な端末デバイス)、アプリケーション、Webサイトなどを24時間365日体制で監視する専門組織です。必要に応じて外部ソースも監視対象に含め、脅威の検知から対応、そしてインシデント発生時の調査・分析までを行います。
SOCは、セキュリティアナリストやセキュリティエンジニアが協力して、以下のような活動を通じて企業のセキュリティ態勢を強化します。
-
脆弱性の発見と対策:システム上の脆弱性を発見し、対策を講じてリスクを軽減する。
-
不正行為の監視と対応:不正なアクセスや異常なログインパターンを監視し、異常を検知した場合に即時対応する。
-
ポリシー遵守のチェック:セキュリティポリシー(情報の取り扱いに関する方針やルール)違反の監視と是正を行い、社内のセキュリティルールが守られているかを確認する。
-
侵入検出:ネットワークやシステムへの侵入を検出し、迅速に対処することで被害を防止する。
-
インシデント対応サポート:重大なセキュリティインシデント発生時には、インシデント対応チームと連携し、問題の早期解決を支援する。
SOCは、これらの対策を通じてリアルタイムでのインシデント対応と継続的なセキュリティ強化を担い、企業の安全なネットワーク環境を維持するための中核的な役割を果たしています。
セキュリティオペレーションで使われる様々な情報(データソース)
SOCは、システムやネットワークの異常を検出するため、さまざまなデータソースを活用します。
-
サーバーログ:サーバーの操作やログインの履歴を記録したものです。異常なログインや動作を発見するのに役立ちます。
-
DNSアクティビティ:どのドメイン(インターネット上の識別名)にアクセスしたかを記録するもので、怪しいサイトへのアクセスを監視できます。監視することで、どのサイトを訪問したかがわかるため、不審な行動やアクセスを早期に見つけることができます。
-
ファイアウォールログ:ネットワーク内外の通信データの記録で、不正な通信があったかどうかを確認します。
-
DHCPログ:ネットワークに接続されたデバイスの情報を追跡するためのデータです。
これらのデータは、SOCがシステムやネットワークの安全を守るための情報源となっています。また、これらのデータを一括管理するために、SOCではSIEM(セキュリティ情報およびイベント管理)と呼ばれるセキュリティ管理システムも活用しています。
SOCが提供するサービス
SOCのサービスには、主に「リアクティブ(事後対応)」と「プロアクティブ(予防)」の2種類があります。
リアクティブサービス
リアクティブサービスは、インシデント発生後に行う対応です。
-
セキュリティ監視:システムを監視し、異常を検知した際には即座に対応します。
-
脆弱性管理:システムの弱点をチェックし、修正の支援を行います。
-
マルウェア分析:システム内で発見されたマルウェア(悪意のあるソフト)を分析します。
-
侵入検知:不正アクセスを検出し、詳細なログを確認します。
-
レポート作成:インシデントを文書化し、社内で共有します。
プロアクティブサービス
プロアクティブサービスは、問題が発生する前にリスクを減らすための対応です。
-
ネットワーク監視:ネットワークのデータを監視し、怪しいトラフィックがないかをチェックします。
-
脅威ハンティング:潜在的なリスクを見つけ出すための調査活動です。
-
脅威インテリジェンス:最新の攻撃手法や脅威の情報を収集し、予防策を強化します。
また、従業員のセキュリティ意識を高めるためのサイバーセキュリティトレーニングも行い、企業全体の防御力を高めています。
SOCの活動例
SOCアナリストがネットワークトラフィック(一定時間内にやり取りするデータや通信の量)を監視していると、以下のような異常を見つけました。
-
異常なDNSクエリの発信
- あるデバイスが「1分ごと」に同じDNSクエリを発信している
- 通常のネットワーク利用では、このように頻繁に同じリクエストを繰り返す必要はない(通常は、
頻繁に同じリクエストを繰り返す必要がない仕組みとなっている) - この動作を不審に思ったアナリストがデバイスを調査すると、マルウェア感染の兆候を見つけた
-
調査結果:マルウェア感染の確認
- データソースや感染の兆候のあるデバイスを調べた結果、悪意あるサイトにアクセスしたことでマルウェアに感染していた
- 感染したデバイスが遠隔のサーバーに対して定期的に通信を送信していることが判明
-
対応措置
- 感染したデバイスをネットワークから「隔離」した
- デバイス内の感染の痕跡を取り除き、他のシステムへの影響も確認した
このようにして、SOCはネットワークを常時監視し、異常を検出して即座に対応することで、被害や被害の拡大を防ぎネットワークの安全を守っています。
小テスト
Q1: SOCが主に監視する対象に含まれないものは次のうちどれですか?
a) ネットワーク
b) サーバ
c) デスクランプ
d) アプリケーション
Q2: SOCが活用するデータソースで、不正な通信を監視するためのものはどれですか?
a) サーバーログ
b) ファイアウォールログ
c) DHCPログ
d) システムメモリ
Q3: SOCのリアクティブサービスに含まれる活動は次のうちどれですか?
a) 脅威ハンティング
b) セキュリティ監視
c) サイバーセキュリティトレーニング
d) 脅威インテリジェンス
Q4: SOCのプロアクティブサービスで、将来のリスクを減らすための活動はどれですか?
a) 侵入検知
b) レポート作成
c) 脅威ハンティング
d) マルウェア分析
Q5: インシデント発生後にインシデントの詳細を文書化して社内で共有する作業は、次のうちどのサービスに分類されますか?
a) プロアクティブサービス
b) セキュリティ監視
c) 脆弱性管理
d) レポート作成
Q6: SOCが24時間365日体制で行う主な目的は次のうちどれですか?
a) 新製品の開発
b) インシデント対応とセキュリティ強化
c) ソフトウェアのインストール
d) ネットワークのデザイン設計
解答
Q1: c) デスクランプ
Q2: b) ファイアウォールログ
Q3: b) セキュリティ監視
Q4: c) 脅威ハンティング
Q5: d) レポート作成
Q6: b) インシデント対応とセキュリティ強化
まとめ
セキュリティオペレーションセンター(SOC)は、企業の安全なネットワーク環境を保つための重要な組織で、24時間365日体制で脅威を監視し、リアクティブおよびプロアクティブなサービスを提供しています。SOCは、脆弱性の発見、異常なアクセスや通信の検知、インシデント発生時の対応といった幅広い活動を通じて、被害の最小化とネットワークの防御力向上に貢献しています。SOCの活動は、企業全体のセキュリティレベルを高め、長期的なリスクを減らすために欠かせない役割を担います。
Discussion