ニュース
SOC運営を効率化、インシデント対応の質をチームで標準化する「RSA Archer SecOps」
(2014/2/5 11:00)
EMCジャパン株式会社は5日、セキュリティオペレーションセンター(SOC)の運用を管理し、インシデント対応を効率化する「RSA Archer Security Operation Management(以下、Archer SecOps)」を発売した。
GRC(Government、Risk、Compliance)製品「Archer」の新モジュールとして提供される。Archerは「リスク管理」「監査管理」「ベンダー管理」「事業継続管理」「インシデント管理」「脅威管理」「ポリシー管理」「コンプライアンス管理」「エンタープライズ管理」のモジュールで構成される製品で、セキュリティモニタリング製品「RSA Security Analytics」などのSIEM製品から上がるアラートに対して、適切なプロセスで対応できるようにする。
今回のArcher SecOpsは、SOC運用に特化した新モジュールで、SIEMアラート集約とインシデント生成ののち、インシデントレスポンス、データ侵害への対応、SOCプログラム管理を支援し、ダッシュボードでSOC活動全体を可視化してくれる。「インシデント対応が標準化できるため、アナリストの経験や感覚に依存せず、SOC全体で対応スキルを標準化できるのがメリット」(同社)とのこと。
特長はインシデント重要の判定に、ビジネスリスクの要素を組み込める点。医療現場で助かる命を優先する「トリアージ」の考え方をインシデントレスポンスに適用したとのことで、例えばアラートを受信した順番に処理する通常の運用では、優先度の概念がまったくなく、1日に処理できる件数も多くはならない。一方、Archer SecOpsでは、SIEMの重要度判定に、「対象業務の内容」「情報の種類」「社員の属性」「地域特性」などのビジネスリスクを加味して優先度を付ける。こうすることで、重要度の高いものから処理できるほか、時間が余ったところで優先度の低いものを集中的に処理するなど、結果的に1日で処理できる件数も増やせるのだという。Archer SecOpsには、こうした優先度を一目で把握できるよう、可視化機能が強化されている。
また、「効率的なSOC運用のために大事」(同社)だとするのが「レスポンス・ワークフロー」。マルウェアを検知したときの調査手順、コールバック通信の疑いがある場合の調査手順など、インシデントの内容に応じて対応方法は異なる。「SOC運用では、インシデントレスポンスに必要な調査手順をあらかじめ定めておき、その手順に沿ったワークフローをいかに回せるかが鍵となる」(同社)ため、Archer SecOpsでは、さまざまな状況に置ける手順がテンプレートとして提供される。これをカスタマイズするなどして、容易に自社環境に合ったプロセスを構築できるというわけだ。
このほか、SOC全体の稼動管理と活動状況の可視化や、取り決めたセキュリティコントロールの効果測定、ルールの見直しのための機会提供など、SOCを効率よく運用するための機能が提供される。
主な対象は、自社でSOCを立ち上げたいユーザー企業。利用するのは、Archer SecOpsモジュールとエンタープライズ管理モジュールが必要。価格は、従業員5000人の企業の場合、1170万円(税別、両モジュール込み)。例外的にSOCをサービスとして提供したい事業者向けには個別見積もりで提供する。
