
どんどん高度化・複雑化していくサイバー攻撃に対し、取るべき情報セキュリティ対策も複雑に、かつ変容してきています。
そうした中で、現代の情報セキュリティ対策の中核を担う概念であるEDR、SOC、SIEMについて、その関係性や重要性をご説明します。
EDRの概要
EDR(Endpoint Detection and Response)は、エンドポイント端末をサイバー攻撃やマルウェア感染から保護するソリューションで、以下のような機能を持ちます。
- エンドポイント端末での常時監視
- 脅威(マルウェアやサイバー攻撃)の検知
- 検知した脅威の隔離・遮断
- 脅威の分析・レポート
EDRを導入することで、エンドポイント端末がマルウェア感染やサイバー攻撃を受け手も、迅速な状況把握と感染拡大防止が可能になります。
EDRについて詳しくは「EDRとは 意味やウイルスソフトやUTMとの違いを解説」を参照してください。
SOCの概要
SOC(Security Operation Center)は、24時間365日、組織のデバイスやネットワークを監視し、サイバー攻撃の検出・分析を行う組織です。
高度化・複雑化を続けるセキュリティ脅威に対し、高い専門性を有した分析者によるサイバー攻撃の検出・分析を目的としており、企業におけるセキュリティ対策をリードする役割として注目されています。
社内に設置する内部SOCと外部委託による外部SOCとあり、外部SOCはMSS(Managed Security Service)とも呼ばれます。
ちなみに、SOCの役割としては下記のようなものが挙げられます。
- セキュリティ診断
- インシデント発生時の対応
- セキュリティ運用業務
- 社内ヘルプデスク
- ログ監視
(h2)SIEMの概要
SIEM(Security Information and Event Management)は、ソフトウェアやデバイスのログを一元的に集めて分析し、不正な挙動を検知するソフトウェアです。
SIEMの機能としては、下記が挙げられます。
- 端末・ネットワークのセキュリティログの収集・統合
- 収集・統合したログの監視・分析
- インシデント情報の集中管理
- ユーザ行動の分析による内部不正対策
ここまでお読みになって、EDRとSIEMが似ているとお気づきの方もいると思います。
確かに両者はログを収集し、分析することでセキュリティ対策に寄与するという点ではかなり近しいですが、役割としては少し違います。
EDRがログを監視することでマルウェアやサイバー攻撃を迅速に検知・分析することを主な役割としているのに対し、SIEMは長期にわたってログを保管・解析することでマルウェアやサイバー攻撃の迅速な検知をします。
EDRが求められる背景
EDRが求められる背景としては、やはり、サイバー攻撃の高度化・複雑化が挙げられます。
具体的には、下記です。
パターンマッチングをすり抜けるマルウェア
従来のマルウェア検知ソフトは、既知のマルウェアに含まれるプログラムのパターンをブラックリスト化し、それにマッチするファイルやプログラムをマルウェアとして検出する、というものでした。
しかし、近年、マルウェアが高度化し、自身を暗号化するなどの方法でこの検知をすり抜けるマルウェアも増えてきました。
そこで、EDRのようにエンドポイント端末を常時監視し、ファイルやプログラムの挙動の不信さからマルウェアを検知する振る舞い検知のやり方が求められています。
境界型セキュリティ対策の限界
また、そうしたサイバー攻撃の高度化・複雑化や、リモートワークの普及、クラウドの業務利用の一般化なども手伝い、従来のような「企業の外部から内部への侵入を防御する」境界型セキュリティ対策の考え方では立ち行かなくなってきました。
そこで、企業の外部・内部問わずすべてを信用せず、監視・検知の対象とするゼロトラスト・セキュリティの考え方が誕生しました。
EDRやSIEMによる監視で、全体を常に監視し続ける必要が生じたのです。
EDR導入・運用におけるSOCの必要性
では、EDRとSOCの関係性について考えてみましょう。
EDR導入における課題
EDRはチューニングが必要
前提として、EDRは簡単なソリューションではありません。
例えば、EDRはサイバー攻撃やマルウェアを振る舞い検知によって検知・アラートを発報してくれますが、その精度は、残念ながら100%ではありません。
EDRは、本来検知するべきではない正常なプログラムをマルウェアとして検知してしまう場合や、逆に、危険なサイバー攻撃の兆候を見過ごしてしまうこともあります。
そうならないように、EDR導入後は自社において求められるセキュリティレベルと照らし合わせたチューニングが必要になりますが、その対応は専門性も高く、なかなか技術的にもリソース的にも難しいのではないでしょうか。
運用体制の構築も必須
また、EDRの運用のための体制を構築する必要もあります。
企業・組織によってまちまちではありますが、EDRは24時間365日、エンドポイントの監視を続け、膨大な数のアラートを発砲し続けます。
せっかくEDRがマルウェアやサイバー攻撃を検知してくれても、それに対して迅速な対応が取れなくては、効果が半減です。
いつエンドポイントにサイバー攻撃の危険が生じてEDRによる検知が行われても迅速な対応ができるように、EDR導入後は、管理者も24時間365日の体制がベターです。
こうした理由から、EDRの効果を享受するには、高度なセキュリティスキル及び、運用・導入のリソースが求められます。
EDR導入におけるSOCの必要性
先述の通り、SOCは24時間365日体制で組織のデバイスやネットワークを監視し、セキュリティ脅威の発見・対応に当たります。
すなわち、EDRの効果を最大限享受するにあたって、必然的にSOC組織の構築・利用が求められます。
寧ろ、SOCのためのツールとしてEDRが存在する、と言っても過言ではないかもしれません。
SOC構築のポイント
では、SOCの構築にはどんな手筈が必要なのでしょうか。
一概にSOCと言っても、企業・組織によってどれだけの規模でどんな組織を構築するべきなのかは変わってきます。
それを踏まえて、以下のような流れでSOCを構築すると、スムーズです。
1.構築の目的を定義する
SOCを構築する目的を明確にします。
何を守るために、何の対策として、どんなことをしてほしいのか、を明確にし、過不足の無い組織構築の礎とします。
2.SOCの責任範囲を明確にする
SOCの目的に沿って業務内容を定義し、SOCと他の従業員で役割分担を決めます。
責任の所在が明確になっていないと、迅速な対応ができません。確実に押さえておきましょう。
3.インシデント対策・対応のポリシーを定める
セキュリティインシデントへの対策・対応や、発生時の対応の優先度を決めます。
全てのリスク・インシデントに等しく対応することは不可能です。危険度の大きさや頻度などを鑑みて決めましょう。
4.必要な対応のレベル感を決める
どの程度の対応をSOCに求めるのかを決めます。インシデント対応のフローやスピード等において、基準となるレベルを定めます。従業員やセキュリティ担当者、SOC間での認識の齟齬を減らしましょう。
5.システム環境の把握
SOCが監視することになる自社システムの構成を把握し、また、導入済みのセキュリティ対策も確認しておくとよりよいでしょう。
6.SOCを比較検討する
世の中にあるSOCサービスの中で自社に適したものはどれか、あるいは、内製したほうがコスト的に望ましいか、などなど検討します。
日常業務や導入済みのセキュリティ対策との兼ね合いもあると思いますので、慎重に選びましょう。
7.運用準備する
実運用に向けて、認識のすり合わせや各種フローの確認、ルールの共有をします。
まとめ
24時間365日、企業のエンドポイントを監視し、以上を検知・報告してくれるEDRですが、なかなか導入するのも簡単ではありません。
SOCと併せて導入することで、しっかりと効果を享受しましょう。