Fusion Centerによる脱サイロのサイバーセキュリティー・ガバナンス: Vol.2 統合する機能

記事をシェアする:

Vol.1では、グループ全体のセキュリティー態勢を一層向上するためにグループ横断的に専門知見を集約する組織として、Fusion Centerの概要、およびその主な目的と導入効果を説明しました。本稿Vol.2では、構想背景を踏まえ、Fusion Centerが有する主要機能を説明します。

Fusion Centerの機能

個別施策・ツールを導入する前にセキュリティー機能の全体像を整理し、機能の要否や各機能に求めるレベルを検討することが望ましいです。その際にはセキュリティー・フレームワーク（例：NIST Cyber Security Framework）に紐付けてセキュリティー機能を一覧化することで、Fusion Centerによる網羅的で一貫性の取れたセキュリティー対策が推進可能になると考えます。

Fusion Centerの機能

1. 施策実効性の確認・確保によるセキュリティー・ガバナンス

• 脅威インテリジェンス：企業グループのサイバー脅威を可視化するためには、攻撃者の動向（脅威動向）に関する情報を収集し、分析することが有用です。脅威動向を把握することで、サイバー攻撃の未然防止・早期対応に役立てることができます。脅威インテリジェンス（脆弱性の悪用情報・業界に対する脅威動向・他社へのサイバー攻撃事案等）はIT環境に依存せずグループ横断的に活用可能な場合が多いため、各社による個別対応ではなくFusion Centerに集約することが望ましいです。

• Red Team：グループ各社に導入されたセキュリティーツール、およびそれらの運用プロセスが有効に機能しているかを検証するためには、チェックリストやヒアリングで確認するだけでは十分とはいえない場合があります。Red Teamによるペネトレーションテスト・TLPT（Threat Led Penetration Test）・脆弱性診断を実施することで、ツールが想定通り動作して攻撃を適切に防御・検知できるか、セキュリティーチームがプロセスに沿って適時に対応できるか、実践的に確認することができます。それにより、各社のセキュリティーツール及びプロセスの実効性を把握し、対策を立案することが可能になります。

• 企画・戦略立案：セキュリティー統制をグループ各社に一貫して適用させるために、グループとして目指すセキュリティーレベルを明示しロードマップを策定する役割が本社には求められます。各社個別に対策を検討するのではなく、脅威動向を踏まえ経営戦略と平仄を合わせて統括的なセキュリティー対策を本社が企画することで、経営とセキュリティーが直結した一貫したガバナンスを効かせることが期待できます。セキュリティー対策の定性的要件（ツールやサービスの導入等）をグループ各社に要請するだけでなく、業務深度に関する定量的要件（脆弱性対応時間やインシデント対応時間等の目標値）を提示し遵守状況を把握することが、実効性確保の観点で重要になります。

• リスク評価：グループ全体のリスク可視化は、常に重要な論点になります。各社の監視レポート・インシデント対応レポートを集約し脅威やインシデントの発生・対応状況を取りまとめることで、グループとして優先度高く取り組むべき直近のリスクを明らかにします。それにより経営層のリスク管理及び意思決定をサイバー攻撃対策の面でサポートします。さらに各社のセキュリティー対策ソリューション導入状況および運用報告書等を集約することで、セキュリティー要件の達成状況について一元的な把握が可能となります。これら情報収集を効率的に行うためには、手作業によるプロセス（メール・スプレッドシート）よりも、チケッティング・システムなどを活用しインシデント対応情報等を取りまとめることが効率的とされます。

2. 集団防衛によるセキュリティー・レベル向上

• 脆弱性管理：インシデントを未然防止するためには、その主な原因とされる「脆弱性に依るリスク」を低減することが求められます。Fusion Centerとしてはインシデント検知・対応に関する機能のみならず、予防策（Cyber Hygiene）として脆弱性管理機能を設けることが重要と考えられます。各社は各々が保有するIT資産について、パッチ適用等の実務を担うことが想定されます。一方で、本社はグループ全体向けの脆弱性対応ガイド策定、および脆弱性対応の状況管理が期待されます。効率化の観点としては、煩雑な手作業によるプロセス（脆弱性と資産台帳との突合・脆弱性の優先順位付け・修正作業のトラッキング等）についてツールの導入を検討することで、脆弱性対応プロセスの効率性と実効性確保をグループ全体として図ることが望まれます。

• セキュリティー監視：グループへの脅威、それによるリスクの現実化をいち早く認識するためには、サイバー攻撃の監視を継続的に行うことが求められます。一般的に、監視要員は業務レベルに応じて3段階に分けられます。
  ・Tier 1
  最前線で絶えずセキュリティー監視（24時間365日監視、グローバル監視の場合はFollow the sun監視）を行い、Playbookと呼ばれる手順書に沿ってアラートに対応します。
  ・Tier 2
  Tier 1のエスカレーションに基づき、アラートを詳細に分析して原因や影響の分析を行い、トリアージ（優先順位付け）を行います。
  ・Tier 3
  Tier 2のエスカレーションに基づき、インシデント対応要否の判断とその後のインシデント対応を行います。
  
  これら監視・分析を一層有効にするためには、本社がグループ標準の検知プロセスを整備することが重要です。グループにおいて最低限検知すべきリスクシナリオをユースケースとして策定し、具体的な検知方法を検知ルールとして定め、検知ルールの構成要素（Building Block）となるログの要件（種類や保管期間）を検討します。これら検知プロセスを手作業で運用するのは現実的ではないため、SIEM（Security Information and Event Management）を導入し、複数機器のログを一元的に管理し相関分析することが効率的です。SIEMは脅威発見の魔法の箱ではありませんが、検知プロセスを適切に定めることができれば早期発見に有用です。

• インシデント対応：万が一インシデントが発生した場合の混乱した局面で必要なのはヒーロー・ヒロインの閃きではなく、有事対応チームによる組織的対応、および事前に検討されたインシデント対応プロセス（Playbook）です。被害拡大を抑えるために、不正通信の遮断等の初動対応をPlaybook通りに迅速に行い、有事対応チームが関係者（IT部門・コーポレート部門・フォレンジックベンダー等）と適時連携して対応にあたることが望まれます。有事対応チームをグループ各社毎に配置することは、人材確保の観点で難しいケースが多いです。そのため有事対応チームをFusion Centerに集約し、適宜グループ各社を支援する態勢が想定されます。
  インシデント対応プロセスをより効率化するためには、定型作業の自動化を可能な限り導入し、各種ツールと情報連携して対応状況を可視化することが有用と考えられます。SOAR（Security Orchestration, Automation and Response）というコンセプトに基づき必要なソリューションを導入することにより、これを実現できます。SOAR導入の利点として、マネージメント層にとっては有事対応の状況を適時把握できるようになり、担当者にとっては定型作業の自動化により高度な判断が必要な局面にリソースを集中できるようになります。

3. リソース共有によるコスト最適化

• セキュリティー人材の共有：セキュリティー人材は、各社で採用するよりもグループ全体の共有リソースの方が望ましいとされます。セキュリティー人材の知見を横断的に有効活用できること、幅広い活躍の場が生まれることなどが理由として挙げられます。各社の人件費負担・キャリアパス課題の解消も理由の一つです。セキュリティー業界の人材流動性は高く、採用と同程度にリテンションが重要とされます。Fusion Centerにおけるスキル集約・ソリューション導入を通じて、セキュリティー人材への専門教育やキャリアプラン提供が望まれます。

• セキュリティーツールの統一：ライセンス購入のスケールメリットの観点から、セキュリティーツールについては各社個別契約ではなくグループ一括契約によるコスト抑制が期待されます。そのためには、Fusion Centerの企画・戦略立案において、グループとして推奨するツールを明確にし、ロードマップ上で導入時期を適切に計画することが必要となります。

• 外部ベンダーの統一：Tier 1による監視を24時間365日運用する場合、多数の要員が必要とされます。それを内部リソースだけでカバーするには高額の人件費を要するため、監視サービスを提供する外部ベンダーを活用するケースが大多数です。その場合、グループ各社毎に外部ベンダーが異なると、スケールメリットが限定されサービス費用が割高になると考えられます。加えて外部ベンダー各社で提供サービスや提供レベル（SLA・緊急度の定義・報告内容等）は必ずしも統一されておらず、グループ全体の情報集約・各社レポートの比較検討に相応の稼働が必要とされます。これらの理由により、少なくともTier 1を担う外部ベンダーについては、統一することが望ましいとされます。

まとめ

本稿Vol.2では、Fusion　Centerの機能について整理しました。セキュリティー組織やセキュリティー機能の検討にご活用いただけますと幸いです。

IBM Securityでは、Fusion Center構想策定及び運用に関する、以下のようなサービスを提供しています。

• Fusion Center構想策定支援サービス
  • Fusion Centerの将来像立案及びロードマップ策定を支援します。
    脅威インテリジェンス・セキュリティー監視・インシデント対応支援等のサービス提供実績に基づき、セキュリティー機能の高度化を具体化します。

• XFTM (X-Force Threat Management) サービス
  • Managed SIEM：SIEMを導入し、環境に応じたユースケースと検知ルールを実装します。
  • SOAR：Managed Security Servicesを含む、インシデント対応プロセスを支援します。
  • X-Force Red：Red Teamによるペネトレーションテストサービスを提供します。

 

【関連情報】

IBM Securityサービスの概要についてはこちらから

Fusion Centerによる脱サイロのサイバーセキュリティー・ガバナンス: Vol.1 構想のポイント

 

【お問い合わせ】

本件、またはIBM Security提供のサービスやソリューションに関するフォームでのお問い合わせはこちらから

【著者情報】

Tokyo SOC（Security Operation Center）にてログ分析を主業務として、グローバル標準化（SIEM分析・通知基準・ チケット管理）に貢献。その後、大手金融業のグローバルFusion Center構築のプロジェクト・マネージメントや運用プロセス策定に従事し、日米の脅威一元管理に貢献。現在は、大手金融業のFusion Center・グローバル施策の構想策定を支援している。