「企業は、自社の『セキュリティーオペレーションセンター(SOC)』のセキュリティー熟練度を認識しなくてはならない」――。米ガートナーのバイスプレジデント アナリストで企業のセキュリティー部門の支援に携わるジェレミー・ドゥエン(Jeremy D'Hoinne)氏は、こう警鐘を鳴らす。企業内にあって攻撃者からの侵入を検知し迅速な対応を取るSOCが、その防衛力を高めるため何をすべきか。ドゥエン氏に聞いた。

米ガートナー バイスプレジデント アナリストのジェレミー・ドゥエン(Jeremy D'Hoinne)氏
[画像のクリックで拡大表示]

 現在、企業のセキュリティー部門であるSOCが導入を検討すべきセキュリティーツールが多様化している()。これはベンダーが企業にとって必要であるものの対応できていない「セキュリティー上のギャップ」を特定して、そのギャップを埋める目的に特化したツールをそろえているからだ。

表●SOC部門が導入する主なセキュリティツール
ツール名概要解説
SEIMSecurity Information and Event Management、セキュリティ情報/イベント管理セキュリティ製品やOS、データベース、アプリケーション、ネットワーク機器などがからのログデータを一括管理し、リアルタイムで分析して、システムに侵入した脅威を早期に発見する
EDREndpoint Detection and Response、エンドポイントの検知/対応社内ネットワークのエンドポイント(末端)にあるサーバーやパソコンなどで、悪意ある攻撃を示す異常な挙動や活動の兆候をモニタリングすることにより、インシデントを検知する
CASBCloud Access Security Broker、(「キャスビー」と読む)SaaSなどの各種クラウドサービスへのアクセスを可視化する製品/サービス。不正な操作や機密情報の漏えいなども検知して、これを防止する機能も備える
NTANetwork Traffic Analysis、ネットワークトラフィック分析ネットワークのトラフィック/フローに含まれる、悪意ある攻撃を示す挙動をモニタリングする。ネットワークの接続点にあるセキュリティ対策をすり抜ける攻撃を識別する
UEBAUser and Entity Behavior Analytics、ユーザー/エンティティ挙動分析ユーザーとエンティティ(ネットワークに接続されたホストやサーバーなど)の振る舞いを分析し、検出した疑わしい行動から、外部からの脅威や攻撃を察知する
PAMPrivileged Access Management、特権アクセス管理高度な権限を持つ「特権アカウント」を保護する目的から、これらアカウントからのサーバーやコンソールへの通信(特権アクセス)を管理し、その使用を厳密化する
取材時のコメントと米ガートナーのドキュメントを基に筆者作成

 かつてのSOCは、「SEIM」を導入して、ファイアウオールなどのネットワーク機器やアプリケーションからのログを管理・分析し、外部からの攻撃に対抗していた。攻撃者の手口が巧妙化し、管理すべき領域が拡大したことで、SEIMだけでは脅威を防ぎきれなくなってきた。

この先は日経 xTECH Active会員の登録が必要です

日経xTECH Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。