佐山さんはSOCに携わっているとお伺いしておりますが、SOCの業務内容とその重要性を教えてください。
SOCではアナリストとして、日々顧客のセキュリティ機器が検知したインベントの分析やEDR(Endpoint Detection and Response)を使った端末の調査を行っています。また、SOCシステムの分析ロジック(脅威を見つけるための仕組み)の更新やシステム自体の管理を行っています。
SOCの重要性は、「いかに早く脅威を見つけるか」だと思っています。セキュリティ機器では多くのイベントを検知します。その多くは誤検知(False Positive)や実際に影響が無いもの(本物の脆弱性攻撃だが、監視対象は影響が無い等)であり、大量のイベントの中から“脅威”を素早く見つけることは容易ではありません。また、最も注意すべきは脅威の見逃し(False Negative)です。SOCでは、False Negativeを起こさず、False Positiveを見極めて素早く脅威を見つけることが重要だと考えています。
サイバー攻撃は大きく進化していますが、SOCの役割に変化はありますでしょうか。
サイバー攻撃の進化に伴い、SOCの役割も大きく変化したと思います。具体的には「対象」「広さ」「深さ」が変わりました。
私がSOCのアナリストを始めた2003年当時はSOCの監視対象はWebサーバを中心とした外部公開システムがメインでした。そのため、対象とする脅威もサーバやWebアプリケーションに対する攻撃であり、監視対象のセキュリティ機器はIDS(Intrusion Detection System)/IPS(Intrusion Prevention System)が中心でした。
現在は、外部公開システムだけでなく、企業内ネットワーク(イントラネット)やCloud環境も監視対象となっており、対象となる脅威や監視対象のセキュリティ機器も大きく増えています。
攻撃が進化したことにより検知の広さも変わっています。多くのセキュリティ機器では、脅威を検知するルールを使うシグネチャマッチング(Signature Matching)方式がメインでした。しかし、シグネチャでは検知できない攻撃が増えたことにより、攻撃と思われる不審な動作を見つける「振る舞い検知」が一般的になっています。また、振る舞い検知はゲートウェイやエンドポイントだけでなく、企業ネットワーク通信での不審な振る舞い、ADサーバ等の認証行為の不審な振る舞いと検知範囲も広がっています。
最後の「深さ」ですが、こちらはMDR(Managed Detection and Response)サービス提供により、EDRを使って攻撃を受けた可能性のあるサーバや端末をリモートから調査することが増えています。以前のSOCの分析対象はセキュリティ機器のイベント(ログ)であり、サーバや端末の調査は対象外でした。しかし、現在はサーバや端末内で実際に攻撃の影響があったかといった、より「深い」分析が必要になっています。
つまり、SOCの役割として「企業の様々な環境の脅威」を「広く・深く」分析することが求められていると考えています。
SOCで最近注目、注意している脅威などあれば教えてください。
新しい脅威ではありませんが、特に「脆弱性攻撃」と「ランサムウェア」に注意しています。
脆弱性攻撃は最も知られている脅威ですが、現在も多くの攻撃があります。注意している理由としては、脆弱性が公開されてから攻撃が発生するまでの時間が非常に早くなってきていることです。各セキュリティベンダーも脆弱性の公開や対象となる攻撃コードの公開にあわせてルールを更新していますが、攻撃開始に間に合わないケースも増えています。また、ゼロデイの攻撃も増えており、実際に被害も多く発生しています。SOCでは、早期に脆弱性情報を把握する。また、常時不審なIPや不審なイベントが無いかを確認するといった対策をしています。
ランサムウェアはこの数年の攻撃トレンドですが、攻撃手法も複雑であり、被害の影響度も大きいため注視しています。
その脅威を予測、分析、対処するために活用しているツール、また必要だと思う知識・スキルなどあればご共有ください。
脅威を予測、分析、対処するために活用しているツールですが、最も多く活用しているのはSIEM(Security Information and Event Manager)です。顧客のイベントログを収集し、日々の分析に活用することだけでなく、ダッシュボード等を使って統計的な分析を行っています。また、影響度の分析等にThreat Intelligenceを活用しています。検知したログに含まれるIPアドレス、URL、ファイルハッシュ等をThreat Intelligenceで確認してリスクを把握する。また、外部からの脅威予測を行っています。
必要な知識・スキルですが、前述の役割の変化に伴い大きく増加したと考えています。まず必要な知識ですが、「サイバー攻撃の脅威」およびそれを検知する「セキュリティ機器」の知識です。監視対象範囲、監視対象脅威の範囲は多岐に渡るため、広範囲なサイバー攻撃の脅威とそれをどのように検知するかという知識が重要となります。加えて、端末の調査等を行うためマルウェアの解析(詳細な解析ではなく動作が分かるレベル)やフォレンジックの知識も必要となります。
必要なスキルですが、まず重要なのはセキュリティ機器のイベントを分析し、攻撃内容や影響の有無を判断できるスキルです。また、振る舞い検知のような「グレイ」なイベントを相関的に分析し、脅威を能動的に発見できるスキルも必要です。加えて、前述の通りマルウェア解析やフォレンジックのスキルも必要となりますが、最も活用するのはコミュニケーションスキルだと思います。個々のイベント分析はありますが、組織として判断指標を決めることが多く、アナリスト間の情報共有が重要となります。また、顧客とのコミュニケーションも多いため、コミュニケーションスキルが無いと非常に苦労します。
日々変化する脅威に対して、どのように個人やチームのスキルをアップデートされていますか?また、スキル向上に課題はありますか?
スキルアップですが、個人のスキルアップとチームのスキルアップを分けて実施しています。個人のスキルアップでは個人の興味のある領域(例えばマルウェア解析やペネトレーション等)をピックアップし、専門トレーニングの受講や個別の勉強会参加、自己研究を行っています。課題としては、実施した個人の専門性のみが上がり、チーム全体のスキルアップにつながりにくいことです。チームへの共有会等は実施していますが、全員が興味を持って集中して学習するということが難しく、個人のスキルにバラツキができていることを懸念しています。
チームのスキルアップでは、SOC業務に必要な内容や注視するべき内容をピックアップして、チーム全体で取り組みを行っています。最近ではMDRサービスの受注が増えていることから、端末調査(フォレンジック)技術の習得を業務内容で必要なスキルアップとして行っています。また、注視するべき内容としては感染が増大したマルウェアEmotetの感染活動や検知・対応方法の確認・共有を行いました。
課題としては、新たにSOCに入ってくる人員の教育です。監視サービスの拡販や拡充に伴い、人員の増強を行っていますが、SOCの業務経験がある人ばかりではなく、未経験で入社してくる人も少なくありません。一般的なサイバー攻撃の脅威やSOC業務の教育は実施していますが、SOCを体系的に教育するコンテンツは少なく、OJTが中心になっています。そのため、一般的な知識が一部掛けた状態で業務を行っていることが後から分かり、慌てて説明することが何度かありました。このようなことが無くなるように体系的な教育ができるようにしていきたいと考えています。
今後SOCで取り組んでいきたいことはありますか?
今後SOCで取り組んでいきたいことは、「質の向上」と「新たな脅威や技術・領域への対応」です。
まずは現在提供しているサービスの質を向上し、脅威をより正確、そして早期に発見できる状態にしたいと考えています。また、脅威は日々進化しており、それに対応する技術・領域も進化しています。
いずれも個人およびチームとしてのスキルアップが必要となりますので、計画的に実施していきたいと思っています。
最後にSOCアナリストとしてSANSトレーニングでお勧めするものはありますか?
全て受講しているわけではないので完全に個人的な感想となってしまいますが、「SEC511: Continuous Monitoring and Security Operations」はSOCを体系的に学習できるため非常にお勧めです。セキュリティモニタリングのアーキテクチャやエンドポイント、ネットワークの監視方法、ツール等を使った自動化などSOCで必要な要素が多く含まれています。すでにSOC業務を行っている方、もしくはこれからSOC業務を行う方のどちらにも有効だと思います。
また、「FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics」はMDRサービスを行う上で非常に有益なトレーニングでした。インシデント・レスポンダーやフォレンジック・アナリストが高度な攻撃にどのように対応・調査するかを学ぶコースになっていますが、メモリフォレンジック、タイムライン分析といったフォレンジック技術を学ぶことができ、こちらも非常にお勧めです。
尚、今後受講したいと思っているのはレッドチームとブルーチームの両要素を含めたパープル用トレーニングです。攻撃者のスキルを踏まえた上で、更に防御側でどう検知・対応するかといったことを学び、SOCの質向上につなげたいと思っています。
受講したSANSのコース
- FOR500: Windows Forensic Analysis
- FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics
- SEC511: Continuous Monitoring and Security Operations
- ICS410: ICS/SCADA Security Essentials