ICTソリューション事業本部SI部インフラ課では現在、24時間365日体制でお客様のシステム環境を監視し、不正アクセスなどの危険な兆候をいち早く発見して、被害が広がる前に対処する「SOCサービス」の立ち上げを進めています。今回は、SOCサービスを提供する上で必要な3つのツールを紹介します。
SIEM(Security Information and Event Management)
機能概要
組織内のさまざまなIT機器やシステムからログ情報を一元的に集約し、それらを分析することでセキュリティの脅威をリアルタイムに検知・通知する統合管理システムです。
導入の目的
脅威の早期発見と被害の最小化
リアルタイムの監視と相関分析によりサイバー攻撃や内部不正の兆候を早期に発見し、インシデントによる被害を最小限に抑えることができます。
セキュリティ運用の効率化
膨大なログの監視・分析作業を自動化することで、セキュリティ担当者の負担を軽減し、より重要な業務に集中できるようになります。
内部不正の検知と抑止
従業員による不審なアクセスや、データ持ち出しといった行動を検知できるようになります。また、ログが監視されていること自体が、不正行為を未然に防ぐ抑止力としても機能します。
主な製品・メーカー
- Google Security Operations SIEM
- Microsoft Sentinel
- Splunk Enterprise Security
- IBM Security QRadar
SOAR(Security Orchestration Automation and Response)
機能概要
組織内のさまざまなセキュリティツールを連携させ、インシデント対応に関する一連の作業を自動化し、脅威への対応を迅速かつ効率的に行うためのプラットフォームです。
従来は独立したツールでしたが、現在はSIEMと一つのプラットフォームで完結するかたちが主流となっています。
導入の目的
インシデント対応の迅速化
脅威の検知から調査、封じ込めまでの初動対応を自動化することで、対応にかかる時間を短縮することができます。
対応品質の標準化と属人化の排除
対応が自動で実行されるため、担当者の経験やスキルレベルに依存することなく一定の品質での対応が保証されます。 これにより、人的ミスを防ぎ、高い水準での対応品質を維持することができます。
セキュリティ運用の効率化
インシデント対応を自動化することにより、セキュリティ担当者が本来注力すべき高度な脅威分析や戦略立案といった業務に集中することができるようになります。
主な製品・メーカー
- Google Security Operations SOAR
- Splunk SOAR
- Cortex XSOAR
チケットシステム
機能概要
インシデントの発生から完了までの経緯を、「チケット」として一元管理するSOCの「記憶・管理」ツールです。
検知された脅威に対する調査状況や対応状況をリアルタイムで可視化し、お客様にも情報を共有することができます。
導入の目的
インシデント管理の一元化と可視化
発生したインシデント情報を一元的に集約・管理します。対応漏れや重複対応を防ぎ、組織全体で「今、何が起きているか」を正確に把握することができます。
情報共有の促進と属人化の防止
対応内容や調査で得られたナレッジがチケットに蓄積されるため、チーム内での情報共有が円滑になります。特定の担当者しか対応できないといった「属人化」のリスクを低減します。
サービス品質の継続的な改善
蓄積されたチケットデータを分析することで、発生したインシデントの傾向や課題を客観的に把握できます。データに基づいて改善活動を行うことで、SOCサービスの品質を継続的に高めることができます。
主な製品・メーカー
- Zendesk
- ServiceNow IT Service Management
- Freshservice
- Jira Service Management
紹介した3つのツールを活用し、SOCサービスの立ち上げに向けて改善を続けています。
今後とも、お客様に安全・安心のサービスをお届けできるよう一層努めてまいります。