サイバー攻撃対策の重要なポイントである「多層防御」は、日本の城作りを見本にすると、理解しやすい。ポイントは、4つある。(1)「縄張り」、(2)「石垣」、(3)「天守閣」、(4)「武者走り」だ。前回は、(1)「縄張り」と(2)「石垣」を解説した。今回は、(3)「天守閣」と(4)「武者走り」について解説しよう。

セキュリティ・インテリジェンスで脅威を検知する

 石垣の次は、(3)の「天守閣」を作る。これは、サイバー攻撃対策では、「セキュリティ・インテリジェンス(SI)」に当たる。

 SIは広い概念であるが、簡単には、複数のセキュリティ製品/ソリューションの情報を連携あるいは収集して脅威を検知、分析する一連の概念/手法/テクノロジを指す。まさに、高いところから見渡せる天守閣のような役割を担う。組織で言えば、「SOC(Security Operation Center)」が担当する。

 SIには、3つのレベルがある。レベル1は、ファイアウォールなど、個々の製品の情報を別々に取得するレベル。レベル2は、個別の製品同士をつなげて、複数の製品が連携して、脅威を防御するレベル。レベル3は、個々の製品を統合する段階である。

 レベル3のSIを実現できる製品としては、統合ログ管理製品の「SIEM(Security Information and Event Management)」がある。SIEMは、複数のセキュリティ製品からログ情報を吸い上げて統合し相関関係を分析できる製品で、複数のアラートをリスクが高い順に並べる、といったことが可能になる。このように、従来は人間が行っていた作業を、システムが自動的に処理できるようになっている。

 ただし、SIをSOCの活動として生かし、実現するためには、高度なノウハウや人材が必要になる。「そんな高度なことはできない」と考えている企業も多い。

 自社にスキルがない企業にとって有効な選択肢となるのが、MSSP(マネージドセキュリティサービスプロバイダ)への外部委託だ。スキルがないし、人材の確保もしたくないという企業は、SOCの業務をMSSPへ外部委託することを検討して欲しい。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。