セキュリティオペレーションセンターがインシデントの可能性として検知したセキュリティイベントを組織への影響という視点から判定し、実際にインシデントが発生している場合、CSIRTなどへ適切な連携を実現します。
SOCサービスやプライベートSOCへの期待値は様々ですが、SOCの役割として検知アラートを通知することを目的とし、本来の期待値である「自組織へ与える影響評価」に至らず課題となるケースが少なくありません。その原因としては、SOC要員として目的に適したスキル保有者が配置されていない背景があると考えます。
SOCの目的に適した要員配置が難しい現状において、ISSは、お客様の環境、インシデント対応の知見、脅威インテリジェンスなどの複数の情報を基に「自組織へ与える影響評価」を行い、組織に影響を与える可能性が高いと判断した場合はCSIRTへのエスカレーションを支援することで、迅速かつ確実な対応を実現します。
ISSが提供するセキュリティエスカレーションセンターサービスは、SOCをグレードアップできる唯一のサービスと考えています。
SOCからのエスカレーションに対応できる要員は実務でのインシデント対応経験が必須であり、20年以上に渡りインシデント対応の経験を有するISSの専門技術者は、その要件を十分満たすと自負しています。
豊富な経験により、脅威インテリジェンスの有効活用、お客様環境の適切な理解、それらを基とした適切な「自組織へ与える影響評価」の実現など、お客様のリソースだけでは実現できない高度な体制を具現化できます。
SOCの本来の目的は、監視(モニタリング)する事ではなく防御し対応することであったはずです。しかしSOCの現状は監視を目的とした運用が大半であり、インシデントに繋がるイベントの識別と重要度の判断までできるSOCは多くはありません。
あるランサムウェアの大規模な被害事例では、初期侵入の決定的となるイベントを検知し記録していましたが、いつも上がるマルウェア検出のひとつとカウントしアクションを起こすことはありませんでした。
これはイベントを検知し記録した事で役目を終えたと考えるオペレーションの問題とイベント内容を見ても危険度が判断できないという技術的な問題があります。
イベントの危険度を製品がデフォルトで設定しているSeverityに関わらず判断ができる高度な知見や技術を持ち合わせているセキュリティ技術者が多くいないのも事実です。SOCの運用人員をこのレベルまで訓練し引き上げることは難しいと言えるでしょう。
そこでSOCは従来通り監視を目的として運用に専念し、技術上の問い合わせや運用上取った対応または判断が正しいかどうかをエスカレーションできるセンターがあれば、監視から危険なイベントを早期に発見し防御につなげ、万一インシデントとなった場合でもインシデント・レスポンスとの連携で調査や対応、被害の最小化など本来SOCが担うべき役割を実現することが可能となります。
