業務に関係ありそうな内容を装って送られる標的型攻撃メールや、さまざまな脆弱性を狙って感染するマルウェアの蔓延など、脅威の巧妙化はとどまるところを知りません。残念ながら、企業とインターネットの境界部分で脅威の侵入を「防御」しようとする従来の対策だけでは、被害を食い止めることは困難になっています。
そこで今注目されているのが、脅威の防御(Protect)に加え、検知(Detect)、復旧(Correct)の3段階を循環させ、被害の最小化を図りつつ対策の成熟度を向上させていく「脅威対策のライフサイクル(Threat Defense Lifecycle)」というアプローチです。
このアプローチを推進していく際に重要な役割を果たすのが、さまざまな脅威を検知し、原因追及と対応に当たるSOC(Security Operation Center)やCSIRT(Computer Security Incident Response Team)といった組織になります。標的型攻撃による被害を受け、SOC/CSIRTの構築に取り組む企業や組織が増えていますが、そのあり方には正解はありません。業種・業態や規模、企業文化に応じ、それぞれ適した形を模索していくことになりますが、少なくとも、さまざまなセキュリティ製品から情報を収集して解析し、外部の脅威インテリジェンスを加味して組織の現状を把握し、必要に応じて企業経営層と連携しながら指揮を取る役割は最低限必要になるでしょう。
そんなSOC/CSIRTの運用を手助けしてくれるツールが、セキュリティ製品から得られるログに相関分析を加えて組織内の状況を可視化してくれるSIEMであり、内外のネットワーク通信を可視化する次世代IPSであり、さらには、未知のマルウェアを検出するサンドボックスと、それらと連動してエンドポイントでのマルウェア対応と復旧を支援するEDR(Endpoint Detection & Response)といった製品群です。
11月10日に開催される「FOCUS JAPAN 2016」では、こうした製品を活用してSOC/CSIRTを運用し、スムーズなインシデントレスポンスを実現するポイントを紹介するセッションが複数行われます。また、「重要インフラ等におけるSOC/CSIRTのあるべき姿とNTT-ATの取り組み」では、一般企業以上に脅威への備えと可用性が求められる重要インフラにフォーカスを当て、SOC/CSIRT運営のコツをご紹介する予定です。
ぜひ、FOCUS JAPAN 2016にご来場ください。
▼セッション一覧・詳細、ご登録はこちらから
https://focusjapan.jp/is07/
■FOCUS JAPAN 2016 開催概要
日 時:2016年11月10日(木)10:00-19:00(9:30開場)
会 場:ザ・プリンスパークタワー東京
参加費:無料(事前登録制)
対 象:企業、官公庁の情報システム部門・セキュリティ管理者、
セキュリティ製品の販売店・システム インテグレータの担当者
関連記事:その他テーマの見どころ
■脅威動向・業界動向
https://blogs.trellix.jp/mcafeeblog/2016/10/post.html
■組織・人材育成
https://blogs.trellix.jp/mcafeebl…/…/focus-japan-201-d4f7.html
■クラウド
https://blogs.trellix.jp/mcafeebl…/…/focus-japan-201-6fb8.html
■情報漏えい対策
https://blogs.trellix.jp/mcafeebl…/…/focus-japan-201-4cd1.html
