セキュリティ オペレーションの概要

セキュリティ オペレーション (SecOps) ではライブの敵対者がシステムを攻撃したときにシステムのセキュリティ保証の維持と復旧を行います。 NIST Cybersecurity Framework には、Detect、Respond、Recover の SecOps 機能に関する記述があります。

• Detect (検出) – SecOps では、システム内の敵対者の存在を検出する必要があります。敵対者は、妨げられずに目的を達成できるようになるため、ほとんどの場合隠れたままでいようとします。 これは、疑わしいアクティビティのアラートに対する対応や、企業のアクティビティ ログ内での、異常なイベントの探索という形をとる場合があります。

• Respond (応答): 潜在的敵対者のアクションやキャンペーンの検出時に、セキュリティ運用では迅速に調査を行って、それが実際の攻撃 (真陽性) であるか誤ったアラーム (誤検出) であるかを識別し、その後、敵対者の操作の範囲と目標を列挙する必要があります。

• Recover (復旧) – SecOps の最終的な目標は、攻撃中および攻撃後に、ビジネス サービスのセキュリティ保証 (機密性、整合性、可用性) を維持または復元することです。

ほとんどの組織が直面する最も重大なセキュリティ リスクは、(さまざまなスキルレベルの) 人間の攻撃オペレーターです。 これは、ほとんどの組織においては、マルウェア対策に組み込まれた署名および機械学習ベースのアプローチによって、自動攻撃や繰り返し攻撃からのリスクが大幅に軽減されたためです。 Wannacrypt や NotPetya のような注目すべき例外があることに注意する必要がありますが、これらの防御よりも速く移動しました)。

人間の攻撃オペレーターが対決に挑んできていますが、彼らの (自動ロジックや反復ロジックと比べた) 適応能力のために、防御する人と同じ "人間の速度" で活動しています。これが、同じ土俵で戦う助けとなります。

SecOps (セキュリティ オペレーション センター (SOC) とも呼ばれます) は、価値を有するシステムやデータに攻撃者が到達できる時間とアクセスを限定するうえで決定的に重要な役割を果たします。 攻撃者は、環境内で得る 1 分ごとに、攻撃活動の指揮と、機密システムや大切なシステムへのアクセスを続けることができます。