セキュリティのトレンドをモノにしよう！ ～今日から使えるセキュリティ運用の知識三部作①「マネージドSIEMサービス」～

 セキュリティのトレンドをモノにしよう！
～今日から使えるセキュリティ運用の知識三部作①「マネージドSIEMサービス」～

CISO事業部　長浜 弘和

はじめに

皆さんこんにちは！CISO事業部の長浜です。

新型コロナウイルスも5類に移行してしばらく経ち、マスクなしでもあまり視線が気ならなくなった昨今ですがいかがお過ごしでしょうか？私は相変わらず元気にテレワークしています。

さて、そんな働き方改革の一環であるテレワークやクラウドサービスの利用は、ここ近年で増加してきました。

総務省が出している「令和4年通信利用動向調査の結果」によると、テレワークを導入している企業の割合は5割を超えており、クラウドサービスを利用している企業の割合は7割を超えています。[1]

それにより企業は広範なセキュリティインシデントに対する迅速かつ適切な対応も必要となってきました。

しかしセキュリティソリューションを導入しても、検知ログが放置され対応ができていない場合も多く、ログを理解できる知識を持った人材を見つけるのも容易ではありません。

そのような事情から、ユーザー組織のセキュリティ対策をアウトソーシングする「マネージドセキュリティサービス（MSS）」が注目されています。

すなわち、MSSを提供する企業がクライアントのセキュリティソリューションの管理・運用を請け負うサービスの事です。

...なんだか硬い話になってきましたが、このようなセキュリティ運用におけるトレンドについて皆さんはしっかり把握されていますか？

「なんとなく知っている」で終わっていませんか？

そしてこの記事を読んでいるという事は、実はあなたの会社でセキュリティ運用に関する問題があるのではないでしょうか？ 

セキュリティのトレンドをモノにして、自社のセキュリティ対策強化に繋げましょう！

というわけで、私が担当するインサイト記事では、セキュリティ運用のトレンド三部作『マネージドSIEMサービス』『MDR』『SOAR』に関する記事をお送りしたいと思います。

マネージドSIEMサービスとは？

まずは第１部、「マネージドSIEMサービス」についてご紹介したいと思います。
マネージドSIEMサービスとは、ユーザー組織が所有するSIEMソリューションをリモート管理及び監視するサービスと定義されています。
サービスの一部として、セキュリティレポートの作成や24時間365日の監視対応などを提供している企業も存在します。

ではなぜマネージドSIEMサービスが必要となってくるのでしょうか。
どのようなユーザー組織がマネージドSIEMサービスの利用ケースに当てはまるかについて考えてみましょう。

1. よくわからないままSIEMを導入している
   昨今はあらゆるユーザー組織においてSIEMが導入されていますが、具体的な目的や運用方針を明確にせずに導入に踏み切っている事も。
   SIEMはあるけど全然活用出来ていないというケースは少なくありません。

2. 知見やスキルを持っている人材がいない
   検知ロジックを理解し構築するスキル、セキュリティ分析に関する専門的な知識、脅威となる情報を調査するデータ操作のスキル...等々。
   SIEMを利用するには様々なスキルが必要ですが、社内にそのスキルを持った人材がいない事が殆どであり、また習得するのも困難です。

3. 大量のアラートに対応する人手が不足している
   SIEMの導入によって大量のアラートが発生し得る事となり、迅速な対応が求められます。
   しかし2で書いた通り人材が中々見つからない事で、結果的に1人あたりのアラート処理件数が増えてしまい、対応が遅れてしまうことも多くなっています。
   また、セキュリティインシデントは夜間・休日問わず発生し得るので、通常の勤務時間外でも人的リソースが必要となる場合もあり、人手不足の問題は深刻です。

これら1～3を解決し、SIEMに対する投資から最大の価値を得るための策として、マネージドSIEMサービスの利用が考えられます。
上記に心当たりがあるなら、一度マネージドSIEMサービスを検討してみるのも良いかもしれません。

マネージドSIEMサービス導入に際して考慮すべきこと

ただし、単にマネージドSIEMサービスを使えば万事解決という訳ではありません。例えば以下の事を考慮しましょう。

1. マネージドSIEMサービスを利用する事によるコストへの影響
2. サービス提供者と自組織間での明確な要件の擦り合わせ
3. 社内のセキュリティ人材は依然として必要不可欠
4. サービス提供者との運用責任分担
5. マネージドSIEMサービスのコンポーネント評価
6. SaaS型SIEMの検討

マネージドSIEMサービスを利用する事でSIEM運用の負担は軽減されますが、本当に自組織にとってそれが必要なのか？についてはよく検討する必要があります。

最悪なパターンは、SIEMを導入していても殆ど機能していなかったり誰も見ていなかったりする事です。

今ドキッとしたそこのあなた！今回の記事を元に一度自社のSIEM運用状況を見直してみてはいかがでしょうか。

おわりに

以上がマネージドSIEMサービスについてのご紹介でした。

次回の記事ではより広範となるマネージドサービス、「MDR」についてご紹介したいと思います！

【プロフィール】

執筆者：長浜 弘和（ながはま ひろかず）

2020年にアイディルートコンサルティング株式会社（IDR）の前身であるデジタルアーツコンサルティング株式会社に中途入社。国内有数のSOARエンジニアとしてSOAR導入/運用支援プロジェクトに多数従事し、様々なセキュリティソリューションと連携したPlayBookを作成。また、SOARソリューションの有識者としてセキュリティセミナーにも登壇。

監修：吉田 卓史（よしだ たくし）

20年間にわたり、一貫してサイバーセキュリティーに携わる。ガバナンス構築支援からセキュリティ監査、ソリューション導入等、上流から下流まで幅広い経験を有する。また、複数の企業において、セキュリティのコンサルティングチーム立ち上げを0から担い、数億円の売上規模にまで成長させる。IDRにおいても、セキュリティコンサルティングチームの立ち上げを担い、急速なチーム組成、案件受注拡大を行っている。

【参考文献】

[1] "令和４年通信利用動向調査の結果", 総務省, May 29, 2023.

[2] "Hype Cycle for Security Operations, 2022", Andrew Davies, July 5, 2022.