EMCジャパンは2月5日、セキュリティオペレーションセンターの運用を容易にする「RSA Archer Security Operation Management(RSA SecOps)」の販売開始を発表した。
近年は企業を取り巻くセキュリティ環境の変化から、セキュリティオペレーションセンター(SOC)を自社内に設置する企業が増えてきているという。その一方で、セキュリティ対策製品からのアラートが多く、仮に重大なインシデントが発生した場合でも適切なタイミングで対処できない場合がある。
今回発表されたRSA SecOpsは、セキュリティ対策製品からSOCに送られるアラートの集中管理と、インシデント対応のワークフローを自動化することで、スムーズで効率的なSOC運用ができるようになるという。
RSA SecOpsは、RSA Archer GRC(Governance Risk Compliance)のモジュールの一つとなっており、導入する際にはRSA Archer Enterprise Managementが必要となる。販売価格は、従業員規模が5000人程度の会社の場合で1170万円(税別)。これはEnterprise ManagementとSecOpsを購入した場合の価格となり、運用時のコンサルティングサービスなどを受ける場合には、別途契約が必要だ。
2014年は企業がセキュリティに本腰を上げる年
RSA SecOpsの提供に合わせてEMCジャパンで会社説明会が行なわれ、EMCジャパン RSA事業本部 マーケティング部 部長の水村 昭博氏と、同事業本部 事業推進部でビジネスデベロップメントマネージャーを務める矢野 薫氏がRSA SecOpsの製品説明を行なった。
初めに水村氏はEMCのセキュリティ部門としてRSAが常に最新のソリューションを提供するためにM&Aを積極的に行なってきた経緯を説明。Archerは2010年1月に買収を行なっていたものの、しばらく目立った動きはなかった。今回のRSA SecOpsは、Archer内で提供されている8つのモジュールに新たに加わるものだという。
「昨今のセキュリティチャレンジは変わってきており、かつての突破されなければいいという境界型のセキュリティから、データや人を中心としたトランザクションのセキュリティに変わってきている」(水村氏)
セキュリティチャレンジを4つの視点に分けた上でソリューションを提供しているRSAだが、経営層でも把握しやすいようなリスク理解と適切なマネージメントを行なうためのソリューションとしてSecOpsの提供を開始する。
水村氏は「安倍首相のIT国家宣言やNISCから新しいサイバーセキュリティ指針が出るなど、IT環境の変化が著しい。2014年は本腰を上げて、企業内のセキュリティ環境を整備・構築して行く年だ」とSOCマネージメント製品の発表に至った経緯を語った。
日本企業のSOCは"コーディネーター"がいない
続けて矢野氏がRSA SecOpsの製品詳細を説明。攻撃の巧妙化や標的型攻撃などによって、企業に設置されているセキュリティ製品は常にアラートを出し続ける状態に陥っていると語る矢野氏。もちろん、全てが問題のあるマルウェアなどの検知であれば良いのだが、誤検知も少なからず存在し、それらに対処する管理も煩雑化の一途を辿っているという。
ESG white Paperによると、攻撃の把握に数週間を要するケースが8割近くを占めるほか、70%のユーザーがデータ侵害被害を受けているという。これに対処する人員も56%が不足しているといい「特に日本では、社内のデータ侵害部門の管理や実際に流出した場合の社内調整役となる"コーディネーター"がいない企業がほとんど」(矢野氏)だという。
プライベートSOCを構築する場合、確かにセキュリティインシデントを管理する「アナリスト」と、チームを束ねるSOC管理者、経営層のセキュリティ担当役員であるCISOがいれば一応の運用はできるものの、本来であれば社内の部門間調整を行なうコーディネーターも重要だと矢野氏は指摘しているわけだ。
これらのチーム運営を行なう上で、円滑にチームを回していくためのツールが「RSA SecOps」であるわけだが、このマネジメントツールでは「アラートの集約」と「インシデント・レスポンス」「データ侵害への対応」「SOCプログラム管理」「ダッシュボード」の機能が提供される。
これらの機能は、Enterprise Managementに登録されたIT資産や施設、設備情報、知的財産(IP)といった社内の資産情報をベースにセキュリティ管理ができる。そのメリットを最大限に生かしているものが「インシデント・レスポンス」だ。
通常、退寮に上がってきたアラートを順番に処理するが、一定の時間内では処理しきれないケースが多い。また、セキュリティ製品の多くはマルウェアの危険度などからインシデントの重要度を判定する機能も備えているものの、営業部門の対外資料といった、一般的にセキュリティリスクが低い部門のPC/ネットワークのインシデントでもアラートを上位に持ってくる。
一方で、「インシデント・レスポンス」では、Enterprise Managementに登録された企業内資産情報で部門の位置付けや情報の重要度を判定。例えば、「部長級以上のPC」や「経理部門のPC」といった社外への情報流出リスクが高い場所のアラートについて優先度を高めるといった設定ができるため、ビジネスリスクの低減が図ることができるという。
また、インシデントに対する対処方法では、アナリストの経験や感覚に依存している部分も多く、システマティックに運用ができないケースが多いが、「レスポンス・ワークフロー」と呼ばれる対処の手順をツール内に用意することでチームとして共通の重要度判定を指標化できる。これによって「人に依存しないプラットフォーム運営を目指す」(矢野氏)という。
最後に、CISOなどの経営層でもセキュリティ状況を把握しやすくする「ダッシュボード」機能では、C&CサーバーのソースIP元の把握やインシデントの概要把握などが簡単にできる画面構成例を披露していた。