【背景】
大手企業や中央省庁などの大規模な組織を中心に、万が一の事故対応に備え、セキュリティ運用と監視を行う「SOC(Security Operation Center)」や、セキュリティ事故への対応を行う「CSIRT(Computer Security Incident Response Team)」といった体制を自社内で整備する動きが進んでいます。その基盤システムとして重要な役割を占めているのが、セキュリティデバイスや、サーバ、クライアントなど構内ネットワークのノードからログを一元的に収集・管理し、セキュリティ維持の為の相関分析を行う装置「SIEM(Security Information Event Management)」です。
マイナンバー制度の施行に伴い、そうした体制整備の要求は、地方自治体や独立行政法人、中堅の企業にも波及しつつあり、規模に応じた基盤システムの構築と、セキュリティ維持とコストの両面を意識した運営が課題となっています。
【SOC/CSIRTの課題】
MSSP(Managed Security Service Provider)が提供する共用型SOCサービスでは、専門的人材や運営ノウハウ、そしてその基盤システムとしてのSIEMなど、SOCの運営に必要なあらゆる要素を共用化し、いわば「クラウドサービス」として提供しています。監視対象となるデバイスのログをMSSPのサービス基盤に対して転送することにより、利用する企業や組織はセキュリティ監視にかかる業務をMSSPにアウトソーシングすることができます。
しかし、セキュリティ・ポリシーなどの要因により組織外にログを転送することが禁止されている組織において、こうした共用型SOCサービスの利用は選択肢とはなりません。このような組織においては、自社内でPSOC(プライベート型 SOC)を組織化して構築、運営することが求められています。そこでの課題は、運営ノウハウを持ったセキュリティ専門人材の不足です。有力な解決案としてはMSSP業者による人材派遣/運営委託ですが、この方策では依頼者となる企業や組織に運営ノウハウが移譲・蓄積されることは難しく、中長期的には委託コストの肥大化という新たな懸念が顕在化します。
【SIEMの課題】
一方、SIEM自体はあくまでもサービスの基盤となるシステムであり、その価値はSOC/CSIRTを運営する人材が有効に使いこなせるかどうかにかかっています。
例えば、SIEMの設定パラメータとして、各種デバイスからのログデータの取り込み方法やログを相関的に分析するロジック、監視アラート生成のルールといったものがあります。SIEMの運用者には、それらのパラメータを環境や要件に応じて設計し、日々移り変わるサイバーセキュリティ事情を踏まえた上で、定常的にチューニングし続けることが求められます。ルールセットがメーカーからテンプレートとして提供される場合であっても、自組織に則したルールへ定常的にチューニングし続ける必要性に変わりはありません。すなわち、セキュリティの専門家としての深い知見とスキルを持った人材無しには、SIEMの価値を最大限に発揮することはできないのです。
【SIEM-J+とは】
前述の課題を踏まえ、MSSPであるアズジェントが自社のサービス基盤として使用するSIEMを、「SIEM-J+」として商品化し発売します。
また、それに併せて、アズジェントがMSSPとして熟成させてきたセキュリティ・サービス基盤の構築から運用に至るノウハウを体系化し、サービス・フレームワークとして提供します。各種パーサ(各ノードのログからSIEM取り込む際のログの正規化)、ルール定義のチューニングやスキルの移譲といった技術的支援だけでなく、SOC/CSIRTの運営体制の設計や人材育成までを含めた包括的サービスとコンサルティングを提供することにより、製品が持つSIEMとしての価値の最大化を行います。このサービスを利用することにより、組織内でセキュリティ専門家を育成することができ、最終的にはセキュリティ維持とコストの両面を意識した自立的SOC/CSIRTを運営することが可能となります。
【SIEM-J+ サービス・フレームワーク】
SOC/CSIRTの構築準備から自立的運営までのステップをロードマップ化し、ユーザニーズと各ステップに応じた支援をサービス提供します。運営主体となる組織と目標を共有化し、その過程にある様々な課題の解決に向けた支援の選択肢を提供します。
ユーザが下記のサービスメニューから必要なサービスを選択することで、アズジェントが持つ専門家としてのセキュリティの知見とスキルを効率的に利用できます。これにより、SIEMやSOC/CSIRTの課題である、SIEMのチューニングや運営ノウハウの自組織への移転、委託コストの適正化を行うことができます。
「サービスメニュー」
1.導入コンサルティング ~ 新規SOC/CSIRTの構築から運営、既存SOC/CSIRTの改善 ~
・コンセプト設計
・提供サービス定義
・ロードマップ作成
2.導入サービス ~ SIEMの導入・運用に必要な設定や、SOC/CSIRTの導入・運用のガイドライン ~
・SIEM導入のスコープ設定
・SIEMルールセットの生成
・SIEMアラートのエスカレーションと対応方法
3.運用設計サービス ~ SOC/CSIRTの運用設計 ~
4.ルールセット・チューニング・サービス ~ 運用実態に即したSIEMのパーサやルールセットのチューニング ~
5.エスカレーション・サービス
・SIEMからのアラートレベルに応じたアズジェントSOCへのエスカレーション
・セキュリティ・インシデント時のアズジェントSOCへのエスカレーション
6.運営代行 ~ 技術者派遣型の運営代行 ~
7.オペレータ・アナリスト育成教育 ~ 自立的運営を可能とするための教育支援 ~
【問い合わせ先】
株式会社アズジェント
〒104-0044 東京都中央区明石町6-4
TEL:03-6853-7402 FAX:03-6853-7412 E-mail:info@asgent.co.jp
リンク
御社のプレスリリース・イベント情報を登録するには、ZDNet Japan企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。
