- 会員限定
- 2024/03/04 掲載
中小企業が抱える「セキュリティ対策以前の問題」、XDRやSOCサービス導入の理想と現実
時代とともに変わるサイバー防御の手法
2000年前後までは、企業のセキュリティといえばウイルス対策ソフトとファイアウォールが定番だった。言い方を変えれば、それで十分だった時代である。しかし、攻撃側の進化に伴い、アンチウイルスはクラウド型、AI実装型へと進化し、ファイアウォールは次世代型(IDS/IPS)、EDR/XDRへと遮断のみから検知・対応型へと進化してきている。
クラウドコンピューティングの発展とリモートワークは、企業ネットワークの境界という概念を変え、VPNやZTNA(ゼロトラストネットワークアクセス)が前提となった。ファイアウォールやイントラネットという境界防衛の考え方を一変させたのだ。
もちろんこれだけでは不十分だ。敵を知るにはまず己から。攻撃者視点を取り入れた数々の防御ソリューションやアプローチも広がった。脆弱性診断や侵入テストは、防御が不完全であるという前提でシステムの弱点に向き合う対策手法といえる。
さらに攻撃を受けてからでは遅いと、攻撃者側の動向を探る脅威インテリジェンスも珍しくなくなった。このアプローチは先制攻撃にもつながるアクティブサイバーディフェンスまでエスカレートしている。
変化は攻撃者からの外圧によるものだけではない。サイバーセキュリティに関連して個人や民間企業も法律の制限を受けるようになった。
政府省庁は当然として、関連機関や重要インフラ事業者は、サイバーセキュリティに関連して、対策の義務、インシデント報告の義務などが課される。個人情報保護法では、官民ともに個人データの扱いや管理方法を規定されているのだ。
中小企業が抱える「対策以前の問題」
社会活動をする上で、サイバーセキュリティは無視できない存在だ。対策も高度化しなければならないが、どこでその予算と人材を確保できるのだろうか? SMBは、SOCや脅威インテリジェンスの必要性は認識しているが、そのために数千万も数億もかけられないのだ。多くの中小企業にとっては、少々高いファイアウォールやMTUを入れ、システムやサービスのアカウント管理や個人情報保護法ポリシーの文書化といったような対応しかできないのが現実だ。
もちろんこれらの対策こそ必須である。脅威インテリジェンスとて、正しく活用するにはファイアウォールなど基本的な対策がされていることが大前提である。
商工会議所や業界ISACには、この問題にそれぞれの活動を展開しているところもある。独自のセキュリティサービスやソリューションを提供・あっせんし、コンソーシアムやその作業部会、コミュニティーをつくり、情報共有やリソースの活用を進めている。
このように、セキュリティ対策は、すべてを自前で行うことは現実的ではなく、アウトソースを含めた横のつながりが大きな役割を果たすのだ。予算や人材という課題に対して銀の弾丸は存在しない。地道にセキュリティ投資の重要性を啓発しつつ、コミュニティーや業界団体など企業・組織を超えたパートナーシップで補っていくしかない。
何ができる?SOCの役割と機能
アウトソース・横連携の一例としてSOC(Security Operation Center)で考えてみよう。XDR系の検知+インシデント対応では、自動化が広がっている。広がっているというより、これらは自動化しないと人力での異常検知、攻撃検知はすぐに限界がきてしまうため、自動化する必要がある。だが、自動化していても検知した内容によっては人による対応が求められる場合がある。脅威インテリジェンスでは、収集した情報を人間の洞察や直感によって攻撃予測や将来の攻撃に備える解釈を加える必要がある。
SOCとは、このようなニーズに応えるものだ。組織や企業のネットワークやサーバを24時間監視し、システムの異常や攻撃をいち早く検知する仕組みだ。一般的には、専門のスタッフが常時ネットワークやシステムのログを収集し、常時監視、解析する。大量のログを集中的に管理・分析するため専用のシステムを用意する。
ログ解析には通常保管されたファイルを対象とするが、リアルタイムのトラフィックモニタリングやログモニタリングを行うこともある。
自動化された異常検知は、通常膨大な量になるため、検知を自動化できても対応までを自動化できる場合は多くない。重大なアラートに即応するためのフィルタリングやエスカレーション(上位通達)には人の手の介入が欠かせない。
SOCの運営にはこれだけのリソースが必要で、効果的に稼働させる相当なスキルを持った要員、ナレッジも必要だ。中小企業はおろか、いわゆる大企業でもおいそれと導入できるものではないだろう。社会にとってセキュリティ対策が必須ならば、SOCは社会インフラとして整備してもおかしくないくらいだが、そうはいかないのが現状だ。 【次ページ】タイが始めた「オープンソースSOC」とは?
関連コンテンツ
関連コンテンツ
PR
PR
PR