世界中のセキュリティオペレーションセンター（SOC）が直面している課題としては、人員不足、可視性と自動化の欠如、ツールの無秩序な増殖、アラートの過負荷などが挙げられます。これらの課題は、SOCの有効性に悪影響を与え続けていますが、その一方で、MDR（Managed Detection and Response）サービスやXDR（Extended Detection and Response)ソリューションの導入を加速するであろうと見込まれています。

先月発表されたSANS 2022 SOC Surveyでは次のように述べられています。「12ヶ月先を考えると、今回の調査結果では単一の集中型SOCが主要な導入モデルとなっているものの、真の成長はクラウドベースのSOCサービスにおいて起こるでしょう。これは、我々がSOCの真の定義として思い描いているもの、すなわち形式的な構造に基づくSOCではなくケイパビリティベースのSOCへの扉を開くことになります」。

あらゆる規模の企業のSOC管理者とアナリスト500名を対象とした今回のグローバル調査では、MDRとXDRが今後のケイパビリティベースのSOCに不可欠であると結論付けています。この調査で回答者に尋ねた重要な質問の1つとして、問題を特定するためにイベントデータの相互関連付けをどのように行っているかというものがありました。

回答者の47%がセキュリティ情報およびイベント管理（SIEM）プラットフォームを使用していると答えていますが、SANSの分析によると、これは早晩変化する可能性が高いと見られています。この調査レポートでは次のように述べられています。「より多くのSOCがこの取り組みをSOAR（11%）、XDR（11%）、MDR（7%）のプラットフォームに移行することで、この明らかな優位性はすぐに変化すると我々は予測しています」。

SIEMは、しばしば誤検知や大量のアラートを発生させます。このようなノイズは「アラート疲れ」の原因となり、セキュリティチームが正当なセキュリティ上の懸念に対応する能力を制限する可能性があります。

労働力不足が依然として大きな課題

Cybersecurity Venturesによる8年間にわたる追跡調査によれば、サイバーセキュリティ関連の求人数は、2013年には100万台でしたが、2021年には350万台へと350%も増加しました。

CyberSeekによると、米国で求められているサイバーセキュリティ関連の労働力は95万人以上ですが、そのうち約46万5000人がまだ満たされていないことが分かっています（CyberSeekとは、米国商務省の国立標準技術研究所のプログラムであるNICE（National Initiative for Cybersecurity Education）が支援しているプロジェクトです）。

SANSによる調査で特定された最も一般的なSOCの規模は、組織の規模にかかわらず2～10人です。しかし、チームの規模が小さいほど、ストレスレベルが高まり、アナリストの燃え尽き症候群に拍車がかかった結果、離職率が高まることになります。

この調査レポートでは次のように述べられています。「本調査では、チームの規模は毎年一定であるにもかかわらず、スタッフの離職率と定着率が常に主要な懸念事項となっています。スタッフの離職率は依然として高く、5年以下の経験を持つ個人は70％であり、大半は現職に就いてから3年未満です」。

CybereasonとケイパビリティベースのSOC

調査回答者は、最も重要なSOCの機能として、検知/監視、脆弱性評価、インシデント対応、アラートのトリアージとエスカレーションを挙げています。これらの機能は、社内スタッフとアウトソーシングリソースの間でバランス良く分担する必要があります。

ここでCybereason MDRの出番です。Cybereason MDRは、SOCのレディネスと効果に大きく貢献します。

Cybereason MDRは、プロアクティブな脅威ハンティング、検知、修復を24時間365日体制で提供する、フルマネージド型の検知および応答セキュリティソリューションです。

Cybereason MDRソリューションは、Cybereason Defense PlatformとフルサービスSOCの組み合わせにより、ネットワーク上のすべてのエンドポイントにおけるすべてのMalOp™（悪意ある操作）に対してディープな可視性とコンテキストを提供します。MalOpとは、アラートではなく、攻撃の完全なストーリーを示すコンテキストに基づいたビューのことです。

Cybereason MDRを使うと、企業や組織は、アラートのトリアージと優先順位付けにおける負担や骨の折れるプロセスを取り除くことが可能となるため、修復を実施したりその他の優先事項に集中したりする時間をセキュリティチームに与えることができます。

Cybereason MDRの構造と方法論（下図参照）は、セキュリティプロバイダーが数分で導入できるように戦略的に設計されています。これにより、企業や組織は、プロアクティブな脅威ハンティング、検知、トリアージ、修復を通じて、ほぼ瞬時にタイムトゥバリューを実現できるようになります。

Cybereason MDRは、独立したセキュリティソリューションとして、あるいは既存のSOCに追加するセキュリティ層として、あらゆる企業や組織のセキュリティ体制を即座に成熟させることができます。

また、企業が持つべき可視性に関する課題を考慮するならば、XDRもケイパビリティベースのSOCにとって不可欠となります。Cybereason XDRソリューションは、影響を受けるすべてのエンドポイント、デバイス、ユーザーID、アプリケーション、クラウド環境において、根本原因から完全な攻撃ストーリーを提供することで、企業が悪意ある操作を終わらせるために必要となる可視性を実現します。

Cybereason XDRは、エンドポイントだけでなく、IT環境全体に脅威の検知および対応能力を拡張します。このソリューションを使うと、高価なデータモデルに依存する必要もなければ、外部的な統合に制限されることもなく実現できます。

さらに、人工知能（AI）と機械学習（ML）を活用して、企業や組織のインフラ全体から収集したテレメトリを相互に関連付けることは、成熟したXDRソリューションにとって不可欠な機能です。AI/MLを活用することで、防御者は、「検知して対応する」モードから、よりプロアクティブな「予測的対応」体制へと移行できるようになります。予測的対応モードでは、防御者は、攻撃の次なるステップを予測してブロックすることで、攻撃を次なる段階に進める機会を排除することが可能となります。

サイバーリーズンでは、Google Cloudと共同開発した“AI駆動型XDR” 「Cybereason XDR」を 2022年後半に日本市場向けに提供開始を予定しています。

【ホワイトペーパー】有事を見据えたセキュリティ運用とは？〜攻撃事例から学ぶサイバー脅威対策〜

サイバー攻撃は進化を止めず、その被害は組織の存続さえ揺るがす時代。

昨今、特に注意しなければならないのが、サプライチェーン攻撃の新たな手法です。標的となる組織のセキュリティが堅固となってきたため、セキュリティが手薄な別の組織を踏み台にして標的組織を攻撃するというように、サプライチェーン攻撃はますます巧妙化しています。

このガイドは、重大なセキュリティインシデントに直面した時、慌てず騒がず対応するために。
セキュリティ担当者はもちろん、経営課題として平時から取り組むべきサイバー脅威対策について、最新の攻撃事情とともに紹介します。
https://www.cybereason.co.jp/product-documents/brochure/6938/