サイバーセキュリティ専門企業のサイバーセキュリティ戦略とは？（SOC/CSIRT体制編)

『業務効率化』と『防御力向上』の両立をどう実現するのか

「デジタル資産が増えれば、セキュリティの要求も増える」
これは、セキュリティ従事者にとって疑いのない事実です。

DXが一般化した現代においては、SOC、CSIRTのような既存のセキュリティ専門組織の業務量も増加し、リソース不足の懸念が発生します。しかし、SOC、CSIRTに従事する人材はその専門性の高さから1人あたりの単価も高くなるため、簡単に増員をすることは困難です。そのため、セキュリティ部門がこの先も社内の要望に追随していくには、業務効率化によるリソースの捻出が重要です。

とはいえSOC、CSIRTの業務は前述の通り専門性の高い領域です。そのため、それらの役割は知っていてもその業務を十分に掴めておらず、効率化のメスを入れることに不安を覚えている意思決定者も多いのではないでしょうか。

本記事では、前半でSOC、CSIRTの概要を説明し、その役割と業務内容の理解を深めます。後半では、実際に社内セキュリティ業務の効率化と高度化を同時に実現している例として、トレンドマイクロにおけるセキュリティモニタリングとインシデントレスポンスの体制をご紹介します。

一般的なSOC、CSIRTの役割とその業務

まず始めにSOCとCSIRTの役割を確認していきましょう。

SOC（ソック：Security Operation Center）とは、ネットワークやシステムの監視とログ分析を行うことでセキュリティインシデント発生を把握するための組織です。主な業務は前述の通りですが、SOCによっては発生したセキュリティインシデントへの対処や、サイバー攻撃を阻止するための対策立案まで行う場合もあります。また、SOCはいつ行われるかわからないサイバー攻撃に対応するため、24時間365日体制での対応が必要です。そのため自社SOCを擁することが難しい場合、外部にその業務を委託する場合もあります。

一方、CSIRT（シーサート：Computer Security Incident Response Team）はセキュリティインシデント発生時にその被害を最小限に抑えるための活動を行う組織です。一般にSOCから受けたセキュリティインシデント報告に加え、脆弱性情報、事業へのリスクを加味することで、セキュリティインシデント発生時におけるリスク評価や対応方針の決定を行います。また、CSIRTによってはSOCの指示を受けて、現地でのセキュリティインシデント対応や組織内外の関係各所への連絡など行う場合もあります。CSIRTはその業務特性から保護対象組織の環境を十分に理解している必要があります。そのためSOCとは異なり原則、自社内でその組織を擁します。

今回、SOCとCSIRTそれぞれの理解を深めるため細かな業務に触れましたが、大別すればSOCは監視を、CSIRTは対応を主業務としているとも言えます。

一般的なSOC、CSIRTの業務内容は下記ページで詳細に説明しています。
トレンドマイクロセキュリティ用語集 SOCとは

トレンドマイクロにおける社内セキュリティの大前提

トレンドマイクロは、日本を含め世界中に50か所以上の活動拠点を擁しています。このグローバル体制を守る上で重要になるのが「拠点ごとに脅威は異なるもの」という考え方です。なぜなら拠点が異なれば、その業務プロセスや商習慣が異なるためです。業務プロセスや商習慣が異なれば、それらが保有する脆弱性も異なります。するとその脆弱性を狙う脅威も異なるものになるという考えです。そのような理由から、トレンドマイクロではグローバルレベルのセキュリティ強化には、グローバル共通の脅威だけでなく「拠点ごとに存在する脅威」にも対応できなくてはならないと考えています。そして、その考えを実現するために考えられたのが現在の「グローバルSOC」と「各拠点セキュリティ部門」による社内セキュリティ体制です。

グローバルSOCは24時間365日で当社グローバル全拠点を監視することで脅威情報の分析を行っています。また本組織はセキュリティアナリストを多数擁しており、セキュリティの監視業務に加え、一般的にはCSIRTが行うデジタルフォレンジックやマルウェア解析などの、インシデントレスポンスの中でもとりわけ高度な技術を要する業務にも対応しています。

一方、各拠点セキュリティ部門はその名のとおり各拠点に分散しており、各拠点で発生したセキュリティインシデントの対応やセキュリティ施策の推進を行います。このような特性から、各拠点セキュリティ部門はいわゆる一般企業におけるCSIRTに近い立ち位置といえます^※。また、同部門はそれぞれの拠点に分散していることで各拠点固有のセキュリティ要件や脅威に精通しています。
※当社では自社CSIRTの役割を担う各拠点セキュリティ部門とは別に、社外向けの公式CSIRTとしてTM-SIRTを設置しています。TM-SIRTに関する詳しい情報は、こちらをご覧ください。

当社では高度な技術に精通した「グローバルSOC」と、拠点固有の脅威に精通した「拠点セキュリティ部門」が、それぞれの特性を最大限引き出すことでグローバルでのセキュリティ強化が可能になると考えています。

当社グローバルでの社内セキュリティ体制は過去記事でも紹介しております。
参考記事：日本固有の脅威に対応せよトレンドマイクロ、日本サイバーディフェンスチームの2年にわたる取り組み

選択と集中、SOCと各拠点セキュリティ部門の特性を引き出す分業体制

トレンドマイクロでは、そのグローバルSOCと各拠点セキュリティ部門の特性を活かすためには、セキュリティ業務の「選択と集中」が重要と考えました。そして完成したのが、現在の徹底したセキュリティ業務の分業体制です。具体的にはグローバルSOCは監視および高度な技術が求められるグローバル共通の業務に注力し、その一方で各拠点セキュリティ部門は自拠点内の脅威への対応とリスク管理に注力するという分業体制です。

このような体制とすることで、グローバルSOCは自分たちで判断が難しい、拠点ごとに使用しているツール・サービスの検知など、地域固有の事情が絡むと思われるグレーなアラートの分析に時間を取られず、自身が精通した専門的業務に集中することができるようになります。一方、各拠点のセキュリティ部門は基本的なSOC業務と高度な専門的なサポートをグローバルSOCに移譲することで、自拠点独自の脅威の発見と対処や、いわゆるスレットハンティングやセキュリティマネジメント業務に注力することが可能となっています。

さて、ここまで当社の考え方、体制等をご紹介してきました。しかし、トレンドマイクロの社内セキュリティ業務効率化の取り組みはこれだけではありません。ここからはトレンドマイクロにおける社内セキュリティ業務の効率化を後押しするソリューションについてご紹介します。

XDRを活用してセキュリティ業務のさらなる効率化・高度化を後押し

トレンドマイクロでは前述の分業体制に加え、さらなる社内セキュリティ業務の効率化・高度化を図るため、そのソリューションとしてXDR（Extended Detection and Response）を活用しています。

一般にSOCの主たる業務である監視作業の中で、彼らはエンドポイント、サーバ、クラウドワークロード、ネットワーク等の複数のセキュリティレイヤから個別に発報される膨大なアラートを手動で紐づけて分析し、その中から有効なコンテキストを見つけるという作業に追われます。しかしXDRではその煩雑な作業が自動化されます。XDRは複数のセキュリティレイヤに存在する機器のテレメトリ情報を自動で収集し、相関分析した結果を利用者に提供します。当社のグローバルSOCではXDRを活用することで、一般的にSOCアナリストが疲弊しがちであるアラートの紐づけと分析業務を自動化し、効率的に全社視点での脅威検知を実現しています。

また各拠点セキュリティ部門も、XDRを活用し効果的なスレットハンティングを実現しています。スレットハンティングはその特性から、エンドポイントや、ネットワークセキュリティにおける深い理解と分析能力が必要とされ、またその分析には時間を要します。しかし、XDRではその分析作業は自動化されます。そのため、各拠点セキュリティ部門はXDRが提供する分析結果をもとに、自身が精通する自拠点状況を照らし合わせて効率的に脅威を見つけることが可能となっています。