X-Force
次世代セキュリティー・オペレーション基盤 – IBM X-Force Threat Management (XFTM) サービス
2020-03-26
カテゴリー X-Force
記事をシェアする:
Managed SIEMからX-Force Threat Management (XFTM) へ
サイバーセキュリティーの変遷に合わせ、さまざまなセキュリティー・プロダクトやサービスが登場する中で、Managed Security Servicesは、約20年前から国内外のさまざまなベンダーから提供されています。
古くは、単純にファイアウォールやIDS/IPSからのセキュリティー・アラートを分析・通知し、必要なポリシー管理を実施することが主な役割でした。もちろん今でもその役割は変わっていませんが、複雑化するサイバーセキュリティーに対応するため、対象となるデバイスは多岐にわたり、またCSIRTやインシデント・レスポンス (IR) との密な連携が求められています。
従来の商用SOCでは境界に配置されるセキュリティー・デバイスのモニタリングが多くを占めていた。2010年前後にAPT、標的型攻撃による侵害が多発。以降、エンドポイントやIR等との連携が必須になってきている。
IBMではお客様の環境とさまざまなデバイスに対応するために、これまでManaged SIEM (Security Information and Event Management) を単一サービスとして提供していました。脅威シナリオを定義し、SIEMルールに落とし込むことで、お客様固有の環境に最適化したManaged Security Servicesの提供を目的としていました。
ここ数年、多くの組織でCISRTが設置され、また、よりスピードや社会的責任が求められる中で、オートメーションやオーケストレーションといった総合的なサイバーセキュリティー対策が注目を集めています。
そのような中、IBMではManaged SIEMサービスをベースに拡張・再構成し、脅威マネジメントのライフサイクルをカバーするサービスとして、XFTM (X-Force Threat Management) を提供しています。XFTMは昨今のサイバーセキュリティー・トレンドとお客様からのさまざまなフィードバックを踏まえたサービスとなっています。
XFTMのサービス構成
XFTMは、NISTサイバーセキュリティー・フレームワークに沿う形でデザインされています。
Managed SIEM (QRadar)
お客様毎にSIEM (オンプレミスまたはクラウド) を配置し、お客様環境に応じた脅威シナリオとルールを実装します。もちろん24×7対応で脅威分析を行います。
SOAR (Resilient)
Managed Security Servicesを含む、インシデント・レスポンス全体のプロセスをサポートする機能としてIBM ResilientによるSOARを提供します。メニューに応じ、簡易版とフルセット版(オプション)のふたつを用意しています。
いずれもSOARの要であるPlaybookは、IBMの経験値に基づくベストプラクティスが適用されます。フルセット版では、お客様のインシデントレスポンスプロセスに合わせPlaybookをカスタマイズします。
X-Force Red / IBM Security X-Force・・・・オプション
X-Force Redは所謂Red Team/ペネトレーションを提供します。IBM Security X-Force (Incident Response and Intelligence Services) は、緊急対応サービスまた、その準備として机上訓練などを提供します。Red/IBM Security X-Forceの結果はSIEMルールやSOARのPlaybookにフィードバックされます。Red/IBM Security X-Forceは単独のサービスとしても提供されますが、Managed Security Serviceと合わせて提供することで、サイバーセキュリティー対策またプロセスを最大化することを目的としています。
Managed SIEMの構成(組織の脅威シナリオ重視)
XFTMのMSS/SOCは、ユーザー毎に異なる脅威や環境に最適化したSIEMを配置することで、組織の脅威マネジメント・ライフサイクルをサポートします。
従来また標準的な商用MSS/SOCでは、MSSプロバイダーのSOCに配置されるSIEM(または分析システム)上ですべてのユーザーのログ・アラートを処理するアーキテクチャーが取られており、ユーザー固有のカスタマイズには限界があります。またほとんどの場合、回線トラフィック軽減や分析システムの能力上の観点から、SOCへ転送されるログ・イベントはフィルタリングされるため、網羅的な相関分析が困難となります。
XFTMではユーザー毎にカスタマイズされた脅威シナリオ・ルールを適用したSIEMを配置し、すべてのログ・イベントを相関分析します。脅威シナリオ・ルールは後述するSSAM/X-Force Adviseにより定期的にチューニングされます。
組組織のCSIRT活動では、平時・有事に、以下を含む大小さまざまな改善・強化策が検討されます。
- システム更改(製品・ログソース変更)
- レギュレーション、法令対応(シナリオ追加)
- ユーザーの過失による啓蒙活動(モニタリング強化)
- 世の中・同業同種でのサイバー侵害発生(モニタリング強化)
- 脆弱性診断結果(モニタリング強化)
XFTMはそういった組織の課題を柔軟にインプットすることを念頭にデザインされ、中でも平時・有事の両面で重要な対応となるMSS/SOCについては、組織に応じたカスタマイズ前提である上記の仕組みが必須といえます。
持続的な最適化プロセス
特にManaged Security Servicesは、内外の環境変化への追従とチューニングが鍵となります。
XFTMでは先に記した各機能を密に連携させ、世の中の脅威とお客様環境に合わせて持続的な最適化を行うことを最重視しています。その中核となる役割・機能にSSAMとX-Force Adviseがあります。
SSAM (Security Service Account Manager)
お客様担当者をアサインし、XFTMの各機能の利用状況を取りまとめ、月次で報告・提言を行います。
SSAMは、IBM内のXFTM実務者間のコーディネートを日々行い、SIEM/Red/IBM Security X-Forceからのインプットを総合的に分析・判断し、SOARのPlaybookに反映するなど、必要な最適化・チューニングを実施します。
X-Force Advise
日々のSIEMのモニタリング状況やRed/IBM Security X-Forceからのインプットに基づくSIEMシナリオ・ルールの最適化・チューニングに加え、セキュリティートレンドを見据えた対象範囲や追加デバイスの提言等を行います。
X-Force Adviseは、SIEMのエキスパートが四半期毎のタイミングで実施します。
最後に
冒頭で触れた通り、Managed Security Servicesは約20年の歴史があります。時代とともに環境、テクノロジーが大きく変化しました。Managed Security Servicesに限りませんが、テクノロジーを最大限活用しつつ、最後は「人」である場面は多々あります。
XFTMでは、インシデント・レスポンス全体のプロセスをカバーすると同時に、その最大化・最適化の実現に向けたSSAMやX-Force Adviseによる「人」の配置が大きな特徴と考えます。XFTMは、Managed SIEMを現在のサイバーセキュリティーに合わせて再構成する一方で、最も大事な持続性の確保を備えています。
現在IBMでは、Managed Security Servicesの中核として、またインシデント・レスポンスの総合対策としてXFTMを位置付け、国内外に広く展開しており、またXFTM導入にあたってのアセスメントや運用設計等、各種コンサルティングも提供しています。
APT: Advanced Persistent Threat
EDR: Endpoint Detection and Response
IDS/IPS: Incident Detection/Prevention System(不正侵入検知/防御システム)
IR: Incident Response
MDR: Managed Detection and Response
NGAV: Next Generation Anti-Virus
OT: Operational Technology
SIEM: Security Information and Event Management
SOAR: Security Orchestration, Automation and Response
WAF: Web Application Firewall
【関連情報】
- 世界最大規模のセキュリティー研究開発機関であるIBM X-Force
- 最先端の技術を持つセキュリティー・テスト専門家によるペネトレーション・テスト・サービスIBM X-Force Red
- インシデント対応全体をサポートする統合インシデント対応サービスIBM Security X-Force
- IBM Managed Security Services
【お問い合わせ】
日本アイ・ビー・エム株式会社 セキュリティー事業本部 コンサルティング&システム・インテグレーション エグゼクティブアーキテクト 後藤 久まで、メールにてお問い合わせください。
【著者情報】
木村 靖
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
シニアアーキテクト
90年代から脆弱性診断、インシデントレスポンス、MSSに係わり、MSSでは国内外の商用SOCにて上級アナリスト/アドバイザーとして従事。2019年よりXFTMの国内展開をリード。オンラインメディアの執筆多数。
後藤 久
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
エグゼクティブアーキテクト
UUCP、IPネットワーク管理に従事後、90年代後半より国内外の複数の商用SOC/CSIRTの立ち上げに参画。2019年よりXFTMの国内展開をリード。
事業責任者
小川 真毅
日本アイ・ビー・エム株式会社
セキュリティー事業本部
コンサルティング&システム・インテグレーション
理事/パートナー
CISSP CISA CISM CBCI PMP MBA
大規模言語モデル(LLM)の隠れたリスク:催眠術をかけられたAIの実状
この記事は英語版 Security Intelligenceブログ「Unmasking hypnotized AI: The hidden risks of large language models」(2023年8月8 […]
AIと人間の不正搾取対決:新時代のフィッシングの手口を解明する
※この記事は、IBM X-Force Redに所属するエシカル・ハッカーのStephanie Carruthersにより執筆された文章を翻訳しています。 攻撃者の技術革新は、テクノロジーの発展とほぼ同じスピ […]
IBM Security Trusteer Rapport (ラポート)のダウンロードおよび購入を騙る不審サイトにご注意ください
架空の団体から贈与金を受け取れる等のフィッシング・メールが届き、メール本文に記載されたリンクをクリックすると不正サイトへ誘導され、金銭を安全に受け取るためと称して IBM Security Trusteer Rappor […]