ニュース

大半のSOCは目標の成熟度レベルに達していない、HPEが調査レポートを公開

 日本ヒューレット・パッカード株式会社は16日、セキュリティ運用の状況に関する調査レポート「State of Security Operations Report 2017」を発表した。

 レポートは、組織のセキュリティオペレーションセンター(SOC)の有効性に関する詳細な分析を報告し、進化するサイバーセキュリティ環境においてリスクを軽減するためのベストプラクティスを紹介するもの。

 セキュリティ対策の迅速な革新と経営目標との連携への圧力が強まる中、SOCは組織にとって最も機密性の高い資産を保護し、脅威を検知して対応するための基盤を提供する。しかし、今年のレポートの分析結果からは、大半のSOCは目標の成熟度レベルに達しておらず、実際の攻撃発生時に組織が脆弱な状態に置かれている現状が明らかになったとしている。

 このレポートは、Hewlett Packard Enterprise(HPE)のSecurity Intelligence and Operations Consulting(SIOC)が発行しているもので、180以上の指標により、全世界で140近くのSOCを評価している。各SOCは、セキュリティオペレーションセンターを構成する人員、プロセス、テクノロジー、業務能力を評価する、HPEのSOMMモデル(Security Operations Maturity Model:セキュリティ運用の成熟度モデル)の評価基準で測定される。

 現代の企業が既存の脅威や新種の脅威を効果的に監視するためには、明確に定義され、主観的に評価され、柔軟性のあるSOCが推奨されているが、82%のSOCはこの基準を満たしておらず、最適な成熟度レベルを下回っていると指摘。前年の調査からは3%改善しているが、大半の組織は依然としてスキルのある人材の不足に頭を悩ませているとしている。

 HPEのセキュリティプロフェッショナルサービス担当バイスプレジデント、マシュー・シュライナー(Matthew Shriner)氏は、「今年のレポートでは、組織はセキュリティ対策への積極的な投資を進めてはいるものの、大局を見据えるというよりは新しいプロセスやテクノロジーを追い求める傾向があり、今日の攻撃者たちの洗練された手口とスピードに対して脆弱な状態に置かれている様子が明らかになりました。成功を収めているセキュリティオペレーションセンターは、最適な人員とプロセスとテクノロジーを統合した、バランスのとれた対策をサイバーセキュリティに採用しており、自動化、分析、リアルタイムモニタリングおよびハイブリッドな人員配置モデルを適切に活用して、成熟した反復利用可能なサイバー防御プログラムを導入しています」と述べている。

 主な分析結果としては、未知の脅威を捜すためのハントチームの導入がセキュリティ業界では大きなトレンドとなっているが、既存のリアルタイムモニタリング体制にハントチームを追加した組織は成熟度レベルが向上したものの、ハントチームに特化したプログラムは逆効果になったという。セキュリティ人材の不足は依然として最重要課題であり、自動化はすべてのSOCに不可欠な構成要素となっているが、高度な脅威は今なお人間による調査を必要とし、リスク調査には人間の推理が必要なため、組織は自動化と人員配置のバランスを取ることが不可欠だとしている。

 また、ビジネス規模とそのサイバー対策センターの成熟度の間に関連は見られず、むしろ、競争上の差別化手段としてセキュリティを利用している組織の方が、成熟したSOCという点で優れていると説明。リスク管理を社内に留め、マネージドセキュリティサービスプロバイダー(MSSP)を活用した外部委託または社内組織との併用など、外部リソースによる拡張を行う組織は、成熟度を高め、スキルギャップに対処できるとしている。

 日本ヒューレット・パッカードでは、進化する敵対的な環境に対応しながら組織がSOCの態勢を構築および強化し続けるためには、人員とプロセスとテクノロジーを最適に組み合わせた強固な基盤が不可欠だと説明。組織がこのバランスを達成するための提案として、ハントチームなどの新手法を活用する前に、あらゆる効果的なセキュリティ運用プログラムの基盤となるリスク特定やインシデント検知、レスポンスの基礎をマスターすることを挙げている。

 また、レスポンスの自動化、データ収集、相関分析などの作業を可能な限り自動化してスキルギャップを軽減しておくと同時に、プロセスが人間の関与を必要とし、そのための人員配置を要することを理解すること、セキュリティ戦略の立案とリソース配分の決定に役立てるため、組織のリスク管理目標、セキュリティ目標、コンプライアンス目標の定期評価を行うこと、スタッフを増員できない組織は社内リソースとMSSPへのアウトソーシングの両方を活用し、ハイブリッドな人員配置もしくは運用ソリューション戦略の採用を検討することなどを提案している。