SOCを骨抜きにする「LOTL」と「内部不正」…見えない攻撃と疲弊する現場への処方箋
- ありがとうございます!
- いいね!した記事一覧をみる
会員(無料)になると、いいね!でマイページに保存できます。
今のSOCが直面する敵は、派手なマルウェアだけではない。EDRをすり抜ける「正規の顔」をしたLOTL攻撃と、「正規の手順」に紛れる内部不正。そこへアラート洪水と人材不足が重なり、「監視は回っているのに守れていない」といった状態に陥りがちだ。では、外部も内部も見逃さないSOCを実現するために、何から変えるべきなのか? 現実的な打ち手を解き明かす。
(画像:Gemini/Nano Banana)
SOC運用を阻む「技術課題」と「運用課題」の壁
現代の企業内SOC(Security Operation Center:セキュリティ運用センター)は、今まさに分岐点に立たされている。直面しているのは「技術課題」と「運用課題」という2つの壁だ。技術課題とは、高度化・巧妙化する攻撃への検知・対応力に関するもの。運用課題とは、24時間365日の監視体制を維持し続けること自体の困難さである。注意すべきは、「どちらか一方だけを強化しても無意味」という点だ。両輪が揃わなければ、SOCは機能しない。
技術課題で最も警戒すべきは、攻撃手法の「見えない化」である。近年急増しているのが、LOTL(Living Off The Land)と呼ばれる正規プログラムの悪用だ。侵害先に元々存在する正規ツールを使うため、EDR(Endpoint Detection and Response)などの検知を巧みにすり抜ける。正規と不正の境界が曖昧になった今、通常利用との微細な差異を捉える「脅威ハンティング」なしには、もはや攻撃者の侵入を見逃してしまう。
さらに厄介なのが内部脅威だ。単一の操作では正規業務と見分けがつかず、情報持ち出しの手口も多様化しており、従来の静的な閾値ルールではもはや限界を迎えている。
運用課題も深刻だ。即戦力となる人材は市場にほとんどおらず、増え続けるアラートへの対応で現場は疲弊している。分析精度は低下し、監視ルールは陳腐化していく。結果として24時間365日体制の維持は困難となり、本来アナリストが注力すべき脅威の深堀り分析や検知ロジックの改善といった本質的業務に手が回らない。
では、この二重苦をどう断ち切ればよいのか。ここからは、技術と運用を同時に前進させる具体策を掘り下げる。
技術課題で最も警戒すべきは、攻撃手法の「見えない化」である。近年急増しているのが、LOTL(Living Off The Land)と呼ばれる正規プログラムの悪用だ。侵害先に元々存在する正規ツールを使うため、EDR(Endpoint Detection and Response)などの検知を巧みにすり抜ける。正規と不正の境界が曖昧になった今、通常利用との微細な差異を捉える「脅威ハンティング」なしには、もはや攻撃者の侵入を見逃してしまう。
さらに厄介なのが内部脅威だ。単一の操作では正規業務と見分けがつかず、情報持ち出しの手口も多様化しており、従来の静的な閾値ルールではもはや限界を迎えている。
運用課題も深刻だ。即戦力となる人材は市場にほとんどおらず、増え続けるアラートへの対応で現場は疲弊している。分析精度は低下し、監視ルールは陳腐化していく。結果として24時間365日体制の維持は困難となり、本来アナリストが注力すべき脅威の深堀り分析や検知ロジックの改善といった本質的業務に手が回らない。
では、この二重苦をどう断ち切ればよいのか。ここからは、技術と運用を同時に前進させる具体策を掘り下げる。
この記事の続き >>
-
・【対外部脅威】見えない攻撃を可視化する「ハンティング技術」の全貌
・【対内部脅威】内部犯行を未然に防ぐ「リスクスコア分析」の仕組み
・【対運用効率】SOC運用を変革するAI活用と「育てる監視体制」の作り方
今すぐビジネス+IT会員に
ご登録ください。
すべて無料!今日から使える、
仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
提供企業一覧
- Splunk Services Japan合同会社
関連タグ
タグをフォローすると最新情報が表示されます
