先進的SOC: 可能性は無限

マカフィーにとって2017年は、ビジョンを打ち出したというだけでなく、その実現に向けてスタートを切るという有意義な年でした。

私たちは、エンドポイントとクラウドをサイバーセキュリティで極めて重要な制御ポイントとし、セキュリティ オペレーション センター(SOC)を脅威分析と監視の中心地点とする世界観を確立しました。エンドポイントやクラウドについては、今年1年を通じてたくさんお話ししてきましたが、SOCの概念や技術革新についてはお伝えし始めたばかりですので、もう少し掘り下げたいと思います。

SOCでは、専門の担当者がインシデントの検知、調査、対応を行います。過去10年間ほど、SOCはセキュリティ情報/イベント管理(SIEM)という1つのツールを中心に活動していました。SIEMは、ログ データの収集と保持、イベント間の相関分析、警告の生成、モニタリング、レポーティング、調査、対応のために使われます。さまざまな意味で、SIEMこそSOCでした。

しかしここ数年、SOCの技術革新は大幅に進んでいます。業界全体がセキュリティ オペレーションの重要性が増していることを認めているということだけでなく、強力な技術革新(脅威分析、機械学習)やセキュリティを取り巻く環境のこれまでにない進化がSOCの発展を後押ししています。もはやこれまでの方法では、巧妙化の一途をたどる攻撃に対抗できません。これまでにない対策が必要とされています。

マカフィーが考える次世代のSOCは、モジュラーで、オープンで、コンテンツ主導型です。

そして、自動化されていなくてはなりません。高度なSOCには、データの統合、分析、そして機械学習が不可欠なのです。

その理由は、非常にシンプルで、増え続けるデータ量にあります。企業を対象としたマカフィーのアンケート調査によると、過去2年間でサイバーセキュリティ活動をサポートするために収集するデータの量が大幅に増えた(28%)か、やや増えた(49%)と回答しています。こうしたデータには重要な手がかりが隠されていますが、膨大なデータの中で新手の攻撃が見逃されてしまいます。個別のアラートでは、特に意味を持つパターンやコンテキストを判別できないため、潜在的な重要度や、構造を特定するためには相関分析が必要です。脅威アクターやパターンは変化しているため、こうした情報には、常に最新状態を維持できるモデルを使った高速かつ緻密な分析が必要とされるからです。このような作業をできる限り機械に任せ、人間がビジネス特有のパターンの認知や、効率的なプロセスのデザイン、各組織のリスク体制を守れるポリシーの管理を行えるようにする必要があります。

SIEMは、SOCにとって依然として重要な要素です。そのユース ケースは幅広く、SOCの成功には欠かせないものです(データ インジェクション、解析、脅威モニタリング、脅威分析、インシデント レスポンスなど)。特にMcAfee SIEMは、現在ではセキュリティ オペレーションの主流となった高度な相関分析とリアルタイムのモニタリングに効果的です。嬉しいことに、マカフィーは7年連続でGartner Magic Quadrant の SIEM 部門*のリーダー クアドラントに選出されました。それだけではありません。私たちは、大量のオープン データを取得できるパイプラインを使って継続的にSIEMを進化させ、企業が大金を払わなくてもより多くのデータを収集できるように努めています。

高度なSOCはSIEMをベースに、分析、データ統合、インフラのプロセス要素の最適化を進め、識別、解釈、自動化の能力を向上させています。モジュラー式のオープンな構造であるため、最初の警告トリアージからスコーピングや積極的対応に至るまでの部分に、高度な分析や点検要素を加えることができます。

ここ一年で、マカフィーは8社以上のUEBAベンダーと大規模な提携を行い、McAfee SIEMとの統合作業を推進してきました。先日ラスベガスで行われたMPOWERカンファレンスでは、Intersetと提携し、McAfee Behavioral Analyticsを実現することを発表しました。これについては来年、詳しい情報をお届けします。製品化とともに、この分野でオープンな、さらに幅広いエコシステムで活動することを改めてお約束します。優れたアイデアや高い利益を独占しようという考えは誰にもありません。私たちは協力しなくてはなりません。力を合わせることが重要なのです。
MPOWERではMcAfee Investigatorも発表しました。これは、SIEMからの警告を取り込み、エンドポイントやその他ソースから取得したデータを使って、SOCのアナリストが機械的スピードで重要な兆候を発見できるようにするための全く新しいツールです。機械学習と人工知能を利用したMcAfee Investigatorが、質の高い正確な答えを迅速に取得できるようにアナリストをサポートします。

当初の反響は素晴らしいものでした。アーリー アダプター(早期導入者)の皆さまの体験から、アナリスト調査の効率性が5~16倍上昇したことを確認しています。数時間の作業が数分に短縮されました。数日の調査が数時間に短縮されました。お客様に喜んでいただき、私たちもうれしい限りです。

要するに、SOCに関しては様々な取り組みを行っており、私たちはその緒に就いたばかりだということです。

ビジョンの実現に向けて活動し続けるマカフィーの2018年にご期待ください。可能性は無限です。

それでは

ジェイソン(Jason)

* Gartner Magic Quadrant for Security Information and Event Management (SIEM) 、Kelly M. Kavanagh、Toby Bussa(2017年12月4日)。マカフィーは、2015年から2016年にかけてインテル セキュリティとして選出され、2011年はNitro Securityを買収したため、同社名で選出されています。

Gartnerは、Gartner Researchの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高のレーティング又はその他の評価を得たベンダーのみを選択するようテクノロジの利用者に助言するものではありません。Gartner Researchの発行物は、Gartner Researchの見解を表したものであり、事実を表現したものではありません。Gartnerは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。
原文:A Leader-Class SOC: The Sky’s the Limit

著者:Jason Rolleston

導入前に押さえたい 運用基盤としてのSIEM 活用ポイント

セキュリティ運用効率化の実現基盤としてのSIEMについて、マカフィーが実際にお客様のSOC の体制確立の支援時に提供している、SIEM 導入前の計画から運用を開始までの流れや、継続するために提供しているサービス例も交えて、ホワイトペーパーとしてまとめました。

■ホワイトペーパー記載内容■
・SIEM と運用の効率化
・効率化:運用のどんな作業が楽になるのか?
・基盤:ログの統合、ノウハウ蓄積、情報共有
・不安:使いこなせるのだろうか?
・注意!:SIEM の有効活用は導入前に決まる?
・ビフォー・アフター:ログ・ノウハウ・情報の共有基盤化

この資料を読むことで、SIEM活用のポイントが理解でき、導入を成功させるための注意点を把握することができます。SIEMに興味がある方は是非ダウンロードしてお読みください。