SecOps 規範を確立する

この記事は、セキュリティチームとテクノロジ チームが、予防的制御をバイパスするアクティブな脅威を検出、調査、対応するのに役立つセキュリティ運用 (SecOps) 規範を確立し、最新化するのに役立ちます。

セキュリティ規範 は、関連するセキュリティ作業のグループであり、組織がテクノロジ資産全体にわたって一貫してセキュリティ成果を提供するのに役立ちます。 セキュリティ導入モデル内では、規範によって ビジネス シナリオ技術実装の間の橋渡しが可能になり、セキュリティ投資が セキュリティ導入モデルの一部として実際の測定可能な結果に変換されます。

SecOps とは

SecOps は、ライブ敵対者がシステムを攻撃する場合に、システムのセキュリティ保証を維持および復元します。 NIST サイバーセキュリティ フレームワークでは、検出、応答、回復の SecOps 機能について説明します。

  • 検出 - SecOps は、システム内の敵対者の存在を検出する必要があります。敵対者はほとんどの場合、目的を妨げられることなく達成するために、隠れたままでいるインセンティブがあります。 これは、疑わしいアクティビティのアラートに対応したり、エンタープライズ アクティビティ ログ内の異常なイベントを事前に検出したりする形式になります。
  • 対応 - 潜在的な敵対者の行動やキャンペーンを検出したら、SecOps は、それが実際の攻撃 (真陽性) か誤報 (誤検知) かを迅速に調査し、敵対者操作の範囲と目標を列挙する必要があります。
  • 回復 - SecOps の最終的な目標は、攻撃中および攻撃後にビジネス サービスのセキュリティ保証 (機密性、整合性、可用性) を維持または復元することです。

リスク軽減

ほとんどの組織が直面する最も重大なセキュリティ リスクは、人間の攻撃オペレーターによるリスクです。

注目すべき例外を除き、マルウェア対策に組み込まれた署名と機械学習ベースのアプローチによって、ほとんどの組織で自動攻撃または繰り返し攻撃によるリスクが大幅に軽減されています。

人間の攻撃オペレーターは適応性のために直面することが困難ですが、彼らはフィールドを平準化するのに役立つ防御者と同じ「人間のスピード」で動作しています。

SecOps は、時間を制限し、攻撃者が貴重なシステムやデータにアクセスする際に重要な役割を果たします。 攻撃者が環境内に存在する 1 分ごとに、攻撃操作を継続し、機密性の高い、または貴重なシステムにアクセスできます。

なぜこの規範?

すべての攻撃を防止できるわけではありません。 ほとんどの攻撃をブロックする強力なセキュリティ アーキテクチャと体制管理を使用しても、脅威アクターは環境への初期アクセスを取得することがあります。

SecOps では、これらのアクティブな攻撃とセキュリティ インシデントの管理に重点を置き、侵害後に攻撃者が引き起こす可能性のある損害を制限します。 効果的な SecOps は、次の方法でリスクを軽減します。

  • 悪意のあるアクティビティをすばやく検出する。
  • 攻撃者のドウェル時間の短縮。
  • 横移動と衝撃を含む。
  • 回復と組織の回復性のサポート。

セキュリティ導入モデル内では、SecOps はセキュリティの侵害後の事後対応的な側面を表し、積極的なリスク削減と攻撃防止に重点を置くセキュリティ体制管理を補完します。

リスク削減における補完的な役割を示すセキュリティ運用とセキュリティ体制管理の図。

有効な SecOps 規範がなければ、アクセス権を取得した攻撃者は、検出されずに操作し、特権をエスカレートし、横方向に移動し、ビジネスに最大の損害を与えることができます。

ミッションと成果

SecOps 規範の使命は、最新のテクノロジ資産全体の脅威を迅速に検出、調査、対応することで、サイバー攻撃のビジネスへの影響を制限することです。

チームの規模や運用モデルに関係なく、成熟した SecOps は次の結果を提供します。

  • 迅速な脅威対応 – ID、エンドポイント、インフラストラクチャ、アプリケーション、データ全体にわたる脅威のタイムリーな検出と封じ込め
  • 共有脅威インテリジェンス – アナリスト、自動化、およびダウンストリームのセキュリティ制御を通知する一元化されたシグナルと分析情報
  • プロアクティブな脅威検出 – 新たな手法と攻撃者の行動を明らかにするための脅威ハンティングと攻撃シミュレーション

SecOps チームは、1 人の個人からグローバルに分散した大規模な 24 時間 365 日の運用に及び、機能が部分的または完全にアウトソーシングされる可能性があります。 構造とサイズに関係なく、結果は変わりません。

SecOps でゼロ トラストを採用する

セキュリティ運用 (SecOps) は、ゼロ トラスト戦略の基礎となります。 ゼロ トラストは侵害を想定し、コントロールが失敗したときの影響を最小限に抑えることに重点を置いています。 SecOps は、環境全体の脅威を継続的に検出、調査、対応することで、その想定を行動に変えます。

ゼロ トラストモデルでは、防止だけでは不十分です。 組織は、攻撃者が制御をバイパスし、SecOps に依存して悪意のあるアクティビティを早期に特定し、攻撃をすばやく封じ込め、時間の経過とともにセキュリティ体制を改善する分析情報を生成することを期待する必要があります。

セキュリティ導入モデルでは、SecOps ガイダンスは、監視、検出、調査、対応、自動化、継続的学習など、組織全体のゼロ トラストをサポートするために必要な運用機能に焦点を当てています。

  • 検出と可視性の一元化: ID、エンドポイント、アプリケーション、インフラストラクチャなど、環境全体のログとテレメトリを一元的な検出および調査機能に統合します。 これにより、SecOps に一貫性のあるクロスドメイン可視性が確保され、侵害を早期に検出し、攻撃者の行動を理解できます。
  • 対応と封じ込めの自動化: オーケストレーションと自動化を使用して、侵害されたデバイスの分離や危険なアカウントの無効化などの反復可能な応答アクションを実行します。 自動化により、応答時間が短縮され、アナリストのコグニティブ負荷が軽減され、負荷の下で一貫した実行が保証されます。
  • 脅威を事前に検出する: 脅威ハンティングを主要な SecOps 機能として扱います。 仮説主導のハンティングと高度な分析を使用して、自動検出を回避し、ドウェル時間を短縮し、コントロールのギャップを明らかにする攻撃者のアクティビティを見つけます。
  • アラートとインシデントを効果的に管理する: 検出を調整してノイズを減らし、アナリストが意味のあるアラートに集中できるようにします。 プレイブックを使用して調査と対応のワークフローを標準化し、インシデントが一貫して効率的に処理されるようにします。
  • リスクに基づいて露出を継続的に減らす: 攻撃パス分析と露出の分析情報を使用して、侵害を可能にする可能性のある条件を特定します。 ビジネスへの影響と可能性に基づいて修復に優先順位を付けるので、最も重要な場所に取り組みます。
  • SecOps プロセスを継続的に進化させます。実際のインシデントと脅威インテリジェンスに基づいて、検出、プレイブック、応答の結果を定期的に確認します。 これらの学習を SecOps 戦略に戻して、攻撃者、テクノロジ、ビジネスの優先順位の変化に合わせて機能を適応させます。

SecOps をゼロ トラスト原則に合わせることにより、組織は事後対応型インシデント処理から回復性のある運用モデルに移行し、すべてのインシデントが企業全体の検出、対応、防止を強化します。

この規範を適用する方法

SecOps 規範を効果的に適用するには、組織全体の脅威を検出、対応、回復するための調整されたアプローチを確立することに重点を置きます。

  1. ビジネス リスクに合わせた脅威検出と対応戦略を定義する
    潜在的なビジネスへの影響に基づいて脅威を特定、優先順位付け、対応するための明確なアプローチを確立します。
  2. 環境全体で一貫した検出と対応を確保する
    ID、デバイス、アプリケーション、インフラストラクチャ全体の監視、調査、応答に統合されたアプローチを適用します。
  3. 検出、対応、復旧のプロセスを標準化する
    インシデントを一貫して処理し、応答時間を短縮し、影響を制限するための明確なガイダンスを提供します。
  4. SecOps をビジネスの優先順位と重要なシナリオに合わせる
    重要な資産を保護し、セキュリティ インシデントの影響を最小限に抑えることに重点を置くために、検出と対応の取り組みに優先順位を付けます。
  5. 分析情報とフィードバックを通じて継続的に改善する
    インシデント、脅威インテリジェンス、運用メトリックからの学習を使用して、検出機能を強化し、時間の経過に伴う対応を改善します。

変更の管理

SecOps モダン化は継続的な改善の過程であり、1 回限りのツールのデプロイではありません。 目標は、侵害が発生したときに攻撃者の影響を軽減する組織の能力を着実に向上することです。

重要なアクションとゼロ トラスト配置が強調表示されたセキュリティ運用ミッションの概要のスクリーンショット。

ゼロ トラスト原則に沿った最新の SecOps アプローチでは、次の点が強調されています。

  • ミッションアラインメント - アラートや脅威が人間や自動化 (AI を含む) に対応する能力を超えたときに、ビジネスにとって最も重要なものを優先します。
  • 継続的な学習 - 脅威アクター、プラットフォーム、ビジネスの優先順位の変化に応じて検出、スキル、プロセスを適応させます。
  • コラボレーションと共有 - SecOps を、セキュリティ、IT 運用、エンジニアリング、法務、コミュニケーション、リーダーシップ全体のチーム作業として扱います。

脅威アクターは、失敗するまで安価で効果的で信頼性の高い手法を再利用する傾向があるため、過去の攻撃に関する分析情報として脅威インテリジェンスをキャプチャして共有することが重要です。 SecOps 脅威インテリジェンスは、ビジネス要件とコンプライアンス要件と共に、セキュリティ コントロールの設計、優先順位付け、および体制の改善を直接通知する必要があります。

規範の役割とコラボレーター

SecOps 規範は、通常、専用の SecOps チームによって主導されます。 小規模な組織では、SecOps の責任はパートタイムであるか、ロール間で共有される可能性がありますが、引き続き明確な所有権が必要です。

通常、この規範の主な役割は次のとおりです。

  • SecOps/SOC マネージャー
  • レベル 1 のトリアージアナリスト
  • 階層 2 の調査アナリスト
  • 脅威ハンター (階層 3)
  • 検出エンジニア
  • SecOps プラットフォームとデータ エンジニア
  • デジタルフォレンジックとインシデント対応のスペシャリスト
  • 脅威インテリジェンスアナリスト
  • インシデントの調整と管理の役割
  • 攻撃シミュレーション スペシャリスト (赤チーム、紫色のチーム、侵入テスト)

主なコラボレーターは次のとおりです。

  • 技術エンジニアリングチームと運用チーム - 設計および実行するシステムのログ記録とサポート調査、封じ込め、回復を可能にします。
  • アーキテクチャの役割 – SecOps 脅威インテリジェンスからのインシデント学習に基づいて、システムとコントロールの設計を継続的に改善します。
  • アプリケーションチームと製品チーム - インシデントの分析情報に対応してソフトウェアとサービスを更新します。
  • セキュリティ戦略、統合、ガバナンスの規範 – SecOps 投資の優先順位、メトリック、アカウンタビリティを設定します。 大規模なインシデントの間にサポートと調整を提供します。

効果的な SecOps は、インシデント対応とシステム設計の間の緊密なフィードバック ループに依存します。

他の規範との連携

SecOps は、より広範なセキュリティ運用モデルの一部として動作し、他の規範と緊密に統合されています。

  • セキュリティ体制管理の規範: インシデントの防止に焦点を当てます。SecOps は、引き続き発生するインシデントを管理します。
  • アクセスと ID の規範: ID テレメトリは、主要な検出と調査のシグナルです。
  • データ セキュリティ規範: SecOps は、データの盗難、強要、インサイダー リスク、プライバシー インシデントを調査します。
  • セキュリティ アーキテクチャの規範: 検出と応答のメカニズムが意図したシステム設計と一致することを保証します。
  • 戦略、統合、ガバナンスの規範: SecOps の優先順位、メトリック、成功基準を定義します。

テクノロジの柱との連携

SecOps 規範は、すべてのテクノロジの柱で動作し、発生した場所で攻撃を検出して含める必要があります。

  • ID: ID は主要な攻撃エントリ ポイントであるため、これは SecOps の最優先事項です。 ほぼすべてのマルチステージ攻撃は、ID 攻撃 (pass-the-hash/ticket など) に依存して、より多くの組織資産を横方向に走査してアクセスできるようにします。多くの場合、IT 管理者または管理サービス アカウントに関連付けられている特権アカウントを使用します。
  • エンドポイント: エンドポイントは、一般的な足掛かり、操作のベース、および攻撃者のためのローカル攻撃ツール ストレージです。 侵害されたエンドポイントを迅速に特定して損害を封じ込め、攻撃者の目的と機能に関する分析情報を得る必要があります。
  • インフラストラクチャ: 脅威アクターは、侵害されたときに広範な侵害を可能にする、価値の高いクラウドおよびオンプレミスのインフラストラクチャ資産を頻繁にターゲットとするため、効果的な検出と対応が重要です。
  • アプリ: 電子メール、コラボレーション、基幹業務、その他のアプリに対する攻撃を迅速に検出して対応することは非常に重要です。攻撃者は、多くの場合、それらを使用して組織に侵入し、組織を横断してビジネス資産にアクセスするためです。
  • データ: 攻撃者は、多くの場合、知的財産の盗難、暗号化のためにデータを標的にして、強要やランサムウェアの活用、将来の攻撃の計画、その他の目的を得ることができます。 さらに、SecOps は、プライバシー、インサイダー リスクなどに関連するデータ関連の調査に関与または共同作業を行う場合があります。
  • ネットワーク: 正当な通信と同様に、脅威アクターの通信と攻撃操作はネットワーク接続を介して移動します。 SecOps はネットワーク センサーに重点を置いています。暗号化によって可視性が低下しても、データはコンテキストと封じ込めのために引き続き価値があります。
  • AI: AI が攻撃対象として出現するにつれて、効果的な検出と調査のために新しいツールとスキルが必要になります。 脅威アクターが AI テクノロジを採用するにつれて、AI 攻撃の量が増加しています。 SecOps では、AI を利用して分析やその他のプロセスを自動化することもできます。

次のステップ

Microsoft Unified では、セキュリティ体制管理戦略、アーキテクチャ、テクノロジの最新化を促進するために、専門家主導のワークショップが提供されます。 これらのワークショップには次のものが含まれます。

  • アーキテクチャと戦略のワークショップ - セキュリティ導入フレームワーク (SAF) -Architecture 設計セッション: 最新のセキュリティ運用ワークショップでは、SecOps の最新化の加速に焦点を当てています。 このワークショップは次のように利用可能です。

    • トピックの概要 - 主要な学習とベスト プラクティスに焦点を当てた 4 時間未満のディスカッション。
    • セキュリティ アーキテクチャ 設計セッション (Security ADS) - 追加の詳細、Microsoftケース スタディ、成熟度モデルのディスカッション、および参照モダン化計画を提供する 2 日間のワークショップ。

  • Technology 導入ワークショップ - Microsoft Unified には、組織が SecOps について学習、計画、実装、最適化するためのワークショップがあります。

セキュリティ テクノロジの学習、計画、実装のフェーズを示す、Microsoft Unified SecOps ワークショップの図。

Microsoft主導のワークショップの詳細については、カスタマー サクセス アカウント マネージャーにお問い合わせください。

  • Last updated on