SOC/CSIRTのまとめ
本稿についてはSOC/CSIRTについてわかりやすくまとめて述べる。
SOC/CSIRTの定義
SOCとは
Security Operation Centerの略
CSIRTとは
Computer Security Incident Response Teamの略
一般にはSOCは検知まで
各種セキュリティ装置やネットワーク機器、サーバーの監視
出力されるログの分析
がミッション
CSIRTは(検知後の)対応
攻撃を受けた場合の影響範囲の特定
予防セキュリティ対策
がミッション
とされるが、その詳細な役割分担については諸説ある
そもそも役割分担があるなら両方ともなければいけないが、両方ともある組織(法人・官公庁)などのほうが少ない
※なおSoCと表現すると“System on a Chip”の略になってしまうのですべて大文字にする
ケータイ用語の基礎知識 第705回:SoC とは
https://k-tai.watch.impress.co.jp/docs/column/keyword/698801.html
SOC/CSIRTの目的
サイバー攻撃を検知・防御、最悪の場合修復と正常化を行うこと
サイバー攻撃って何?
標的型攻撃 APT
https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/threat-solution/apt.html
サイバー攻撃を受けるとどうなる?
過去3年間で56.8%がサイバー攻撃の被害を経験、3年間の累計被害額は平均1.3億円、
ランサムウェア被害経験企業では平均1.8億円
―サイバー攻撃による法人組織の被害状況調査―
https://www.trendmicro.com/ja_jp/about/press-release/2023/pr-20231101-01.html
SOC/CSIRTの課題
何を(どこまで)するのかわからない
実際のところ攻撃を受けてしまえば事前に想定した「対応の範囲」など何の意味もない
なぜなら事前にどこまでやると決めておいたところで自社の機密情報が漏洩していたら、けじめをつけるところまでやらざるをえないから(たぶん他の誰かは基本助けてくれない)※これについては最後に述べる
SOC/CSIRTに必要なもの(ハード的なもの)
SIEMソフトウェアやハードウェア
Splunk が有名だけどこれ自体はセキュリティのために作られたものではなく単なる基盤なので使いこなすのはかなり大変。
セキュリティ ベンダーが作ったものは汎用性は汎用品に劣るけど(当然だけど)目的があってつくられたものなのでその目的の範囲内では有効
ただし!SIEM (含むSOCツール)は基本検知するだけなので対応は自分でするしかない(次の項目につづく)
自動で隔離できるのは一時対応であって最終結論ではない 「どんな製品でも必ず人間の手による対応が必要」なことに注意
そうじゃないといっている製品や企業はどこかでウソがあるのでさらに注意
SOC/CSIRTに必要なもの(ソフト的なもの)
残念ながら高度なソフトウェアやハードウェアもSOC/CSRITの目的を達するには程遠い
従来型セキュリティ製品への対応と違い、ハード的なものはどこまで行っても「白・黒をつけてくれない」
じゃ誰が白黒つけるのかというと人間がつけるしかない
人間ってだれかというと、ずばり、社員。
というわけでソフト的なものに必要となるのは「腕のある社員」
次点が社員をサポートしてくれるサービスやコンサルタント、製品ベンダーのひと などなど けどあくまでも次点なのは、社員以外の何かは高くても安く手も決して「白・黒」つけてくれないから またその後の包括的な対応もしてくれない
(最後の手段)SOC/CSIRTをとても運用できないと思う人向け
自分が詳しくないのだから、頭を下げてプロにお願いするしかない のが基本
白黒つけてくれなくてもそんなもんだと思うしかない のが基本
だって自分じゃできないから。
というわけでいざという時に助けてくれるサービスを探すのが最後の手段