第369号コラム:松本 隆 理事
(SCSK株式会社 セキュリティサービス部 エバンジェリスト)
題:「成熟したSOCを目指して」

皆さんはSOC(Security Operation Center)アナリストピラミッドをご存知でしょうか?SOCアナリストピラミッドとは、SANSのブログで取り上げられたSOCアナリストの業務を視覚化したモデルです。現場のアナリストにも(割と)好意的に受け入れられており、一般の方にとっつきにくいSOCの業務を直感的に分かりやすくモデル化しているため、筆者もサービスの説明をするときなどに利用させてもらっています。
https://isc.sans.edu/forums/diary/SOC+Analyst+Pyramid/19677/

このピラミッドはシンプルで非常に分かりやすいモデルなのですが、一方で現状のSOCが抱える課題も浮き彫りにしていますので、今回はそのあたりを解説してみたいと思います。

■SOCアナリストピラミッドとは
SOCアナリストピラミッドとは、SOCアナリストの業務を、標的型攻撃を頂点とする以下の4階層に分類したものです。

1・標的型攻撃
2・遮断されていない悪意のある活動
3・遮断された、または該当しない悪意のある活動
4・誤検出、または脅威ではないもの

それぞれの階層ごとに簡単な解説を行います。

■誤検出、または脅威ではないもの
ピラミッドの第4階層、SOC業務のベースとなるのは「誤検出、または脅威ではないもの」への対応になります。監視対象機器のアラートやイベントログなどで、実際は脅威ではないデータを誤って「問題あり」と検出してしまった状態を指します。

アナリストの本来の業務は、監視対象のシステムに対する攻撃を検出しそれを遮断することです。しかし、誤検出が頻発すると、アナリストは原因の解明と分析プロセスの調整に多くの時間を割かれることになります。また、SOCが新しい攻撃手法に対応するたび、新たな誤検出も発生するため、この作業には終わりがありません。誤検出の問題は、いつの時代もアナリストにとっての悩みの種になっています。

■遮断された、または該当しない悪意のある活動
次の層は「遮断された、または該当しない悪意のある活動」になります。ここでアナリストは攻撃が想定どおりに遮断されているかの確認や、監視対象に到達した攻撃が脅威に該当するかの判断をリアルタイムで行います。

例えば、実際に特定のアプリケーションの脆弱性をついたパケットが送られてきたとしても、その攻撃が想定しているアプリケーションが対象システムで動作していなければ攻撃は成功しません。したがってこのケースでは「悪意のある活動は確認されたが対象システムでは該当しない」という判断になります。

SOCアナリストは、監視対象システムを既知の攻撃から遮断しつづけるために情報を収集し、分析を行います。しかし、これには先述したような終わりのない調整と、問題切り分けのため監視対象の十分な知識やデータが必要となり、なかなか一筋縄ではいきません。

■遮断されていない悪意のある活動
多くの方が想像するSOCアナリストのイメージは、この「遮断されていない悪意のある活動」の対応を行う姿でしょう。アナリストはネットワークトラフィックのアラートやログによって攻撃をリアルタイムに検出し、脅威を分析し、必要に応じて該当の通信を遮断するなどの対策をとります。

攻撃手法は常に進化しており、昨今ではアナリストの監視をかいくぐる回避的なものが主流になりつつあります。それにともない、アラートやログに攻撃の特徴や痕跡が残りにくくなっており、分析するアナリストを悩ませます。アナリストは必要に応じて、技術的な支援を外の組織に求める必要があるかもしれません。

なお、この階層で想定されている攻撃は対象が限定されていない、どのような組織にも同様の対策が必要なものとなります。

■標的型攻撃
ピラミッドの頂点は「標的型攻撃」への対応です。これまでの3層がアラートの状態などによって定量評価可能であったのに比べ、この層では表現が定性的で曖昧なものに変わっています。その理由として、標的型攻撃が対象を限定した攻撃であり、手法も対象ごとに変化するため、攻撃の全貌の把握が困難な点が挙げられます。状況によっては該当するアラートやログすら存在しないケースもありえるでしょう。

このような事情により、標的型攻撃では分析プロセスの有効性が測定しにくく、マニュアル化が困難です。分析の品質はアナリストの経験や知識に大きく依存することになり、これが、SOCで所謂「フルスタック」と呼ばれる、セキュリティ分野で幅広い専門性を持ったエキスパート人材が求められる理由のひとつになっています。

しかし、SOC側の事情はどうあれ、否応なくアナリストは標的型攻撃と向き合わねばならない状況にあります。この層の活動に耐えうるSOCを構築するため、アナリストは監視対象ごとに過去の攻撃を分析し、攻撃に対する感受性を高める取り組みを行うとともに、業務を熟知したメンバーと連携しながら監視対象ごとの脅威インテリジェンスを構築していく必要があります。

この階層の活動を検知し遮断することこそが、現時点でSOCが目指すべきゴールであり、専門のチームを組んでSOCを構築する意義が問われるところでしょう。

■成熟したSOCを目指して
とはいえ、ピラミッドの頂点を目指すには大きな課題が山積みです。特にセキュリティベンダーが提供する外部のSOCサービスが、どこまで内部の人たちと密に連携して未知の脅威に対応可能なのか。そもそも高いレベルの攻撃の検出に必要な情報を、必要なタイミングで入手できるのか。そして、SOCで本当に標的型攻撃の被害を止められるのか。筆者の所属するSCSK株式会社でもSOCサービスを提供していますが、正直なところ標的型攻撃のような高いレベルでのサービス提供をするまでには、課題が山積している状況です。

成熟したSOCとはどういう状態でしょうか。フルスタックと呼ばれるエース級のアナリストを多数抱えるSOCでしょうか。筆者自身まだはっきりと答えは見えていませんが、他にも答えはあるのではないかと考えています。ピラミッドの頂点で活躍するエースを育てるのと同じように、ピラミッドの基礎を支え、悪意のある活動の遮断システムを維持するベースのエンジニアを育てることは、SOCの役割を果たすためにとても重要です。

その上で監視対象の組織と連携しながら脅威インテリジェンスを構築し、特定の組織をターゲットとした攻撃に対して、アナリストがチームとして存分に力を発揮できるようなSOCこそが、成熟した状態なのではないのかと漠然と考えています。筆者自身この課題に自社サービスで何ができるかを模索しながら、取り組みをはじめています。

【著作権は、松本氏に属します】