SOCの役割と人材のスキル

SOC の役割と人材のスキル 1.0 版 2016/7/11 ISOG-J セキュリティオペレーション連携 WG (WG6) 1

改版履歴年月日版内容備考 2016/7/11 1.0 初版 2

はじめに企業内でセキュリティの対応を行う組織の構築や運用を始める際には SOC や CSIRT と言った組織の名称はあるものの実際には監査部門やシステム部門との連携も必要でありどのような機能や役割どのような人材が必要となるかが課題となっているそこでセキュリティオペレーション事業者の視点でどのような役割がありどのような人材が必要かを整理する初版としてはセキュリティの対応を行う組織全体としての機能と役割を明らかにする 3

セキュリティの対応を行う組織の立ち上げから大きく 3 段階あり本書では運用の段階について注目をするセキュリティ事業者が主たる対応を行うものについては本書ではアウトソースと表記するセキュリティの対応について設計や構築を行う導入運用サービスを受けて実現する場合はセキュリティの要件とサービス内容のマッチングを行う信頼の置けるサービス事業者に相談することをお勧めする監視して検知を行う部分を運用とする運用監視をSOCサービスと呼ばれることが多い運用実態にあった組織体制や連携ができるようにすることを本書にて整理するインシデント対応運用段階で検知した結果インシデントとしての対応をする段階はこちらとなるインシデントレスポンスを行う組織を CSIRT と呼ばれることが多い検知だけに閉じず組織での対応含めて行うものはこちらの段階となる 4

セキュリティの対応を行う組織の持つ機能セキュリティの対応を行う組織として持つべき機能は以下の 8 つの機能とする各機能は社内の別組織と連携して行うものも含む機能リアルタイム分析脅威情報と傾向分析インシデント対応と分析インシデント : 証拠の分析ツールのライフサイクルのサポート監査と内部犯行対応診断と評価外部との連携概要監視の結果からリアルタイムで対応を決定する脅威情報を取り扱うインシデント対応を実施する得られた証拠の分析を行う利用するツールの開発や維持管理を行う監査と内部犯行についての対応を行う脆弱性診断により評価を実施する社内外との対応を行う 5

セキュリティの対応を行う組織の持つ機能と役割 (1/10) リアルタイム分析機能の持つそれぞれの役割と概要は以下である機能役割概要リアルタイム分析コールセンター NW ログ分析 PCAP ログ分析トリアージ情報収集分析妥当性確認全体分析品質確認業務範囲の管理レポートやサービスの内容などの一次問い合わせ窓口 IPS/IDS 等のログを分析する PCAP データによる詳細分析を行うリアルタイムな監視からの短時間での分析オペレーターの分析の精度を確認する各チームにおける分析結果顧客のフィードバックから分析品質の把握を行う取り扱うインシデント / 対応範囲の定義と判断 6

セキュリティの対応を行う組織の持つ機能と役割 (2/10) 脅威情報と傾向分析機能の持つそれぞれの役割と概要は以下である機能役割概要脅威情報と傾向分析脅威情報の収集分析脅威情報の配信脅威情報の作成定期レポートの生成対策への組み込み新たな脆弱性情報や攻撃動向 / 攻撃トレンド通信特徴や悪性 IP/ ドメイン情報などのネットワークアクティビティを調査収集する脅威情報を評価し対応優先度や顧客への影響度を判断する脅威情報から長期的な動向を分析する集めた脅威情報を配信し社内外と共有するインシデント対応で得られた結果から脅威情報を生成する監視における検知アラートや発生インシデントについてのレポート作成脅威情報を対策へ組み込む検知機能や分析能力対策提案などの機能強化に役立てる 7

セキュリティの対応を行う組織の持つ機能と役割 (3/10) インシデント対応と分析機能の持つそれぞれの役割と概要は以下である機能役割概要インシデント対応と分析オンサイトでのインシデント対応リモートでのインシデント対応インシデント分析侵入手口の分析対策の実現インシデントの対応を現地にて実施するインシデントの対応を遠隔操作で実施する方法としては電話やメールでの対応場合により遠隔からのログインなどを行うインシデントであるかの判定トリアージ詳細ログ解析の必要有無の検討マルウェア解析の必要有無の検討顧客への発生したインシデントの通知インシデントについての問い合わせ対応どのように侵入が行われたかを分析し現在の対策へ落とし込むための理解をするインシデントレスポンスの結果からどういった機器にどんな対策を行うか検討する 8

セキュリティの対応を行う組織の持つ機能と役割 (4/10) 機能役割概要インシデント対応と分析インシデント対応の調整役顧客に影響があるような情報の収集などの調整を行う監督官庁との連携サプライチェーンとの連携事業部門やSIerとの連携経営層との連携ビジネスの影響の分析インシデントクローズ宣言インシデントクローズ報告インシデント発生時に監督官庁との窓口や連携を行うインシデント発生時にビジネスに関連する企業への影響を考慮し連携を行うインシデント発生時にセキュリティ組織と当該組織の連携を行う場合により当該組織のシステムを管理運用する SIer と連携を行うインシデント発生時にビジネスインパクトの分析結果を踏まえて経営層に状況の報告や対策の提案を行うインシデントが事業における影響を分析するインシデント対応の完了宣言をするインシデント対応の結果を報告する 9

セキュリティの対応を行う組織の持つ機能と役割 (5/10) 証拠の分析機能の持つそれぞれの役割と概要は以下であるインシデント対応と分析の機能から切り出されてフォレンジックに特化した機能としている機能役割概要証拠の分析フォレンジックの証拠の取り扱いマルウェアや仕掛けられたものの分析フォレンジックの証拠の分析フォレンジックで得られたデジタルの証拠の保管や管理を行う侵入に使われたマルウェアや仕掛けられたものを分析するディスクのイメージやトラフィックデータモバイルの端末などの証拠を分析するビジネスへの影響分析に必要となる情報収集サマリの提出など 10

セキュリティの対応を行う組織の持つ機能と役割 (6/10) ツールのライフサイクルのサポート機能の持つそれぞれの役割と概要は以下であるシステム管理部門と連携して行う機能である 11 機能役割概要ツールのライフサイクルのサポート境界面で防御するデバイスの管理資産管理 SOC のインフラの管理運用監視設備 ( センサ以外も含む ) のメンテナンスインシデント対応製品導入支援ファイアウォールやメールのプロキシやコンテンツフィルタなどの運用を行うセンサーやデバイスなど含めた資産管理を行う SOC で利用するツールなどの管理運用を行う監視運用にかかるルールや手順の設計策定 / 承認 / 周知適用を行う機能監視基盤の開発 / デプロイ / 機能追加 / バグ修正 / 機能説明インシデント対応で利用するセキュリティ製品導入や支援

セキュリティの対応を行う組織の持つ機能と役割 (7/10) 機能役割概要ツールのライフサイクルのサポートセンサーのチューニングと維持管理カスタムシグネチャの作成ツールの開発と配備ツールの研究開発製品情報収集 / 検証 IDS,IPS,SIEM と言ったセンサーの管理や運用を行う適用ポリシーチューニング ( 適用シグネチャ管理 ) 検知精度および分析対象の検知量のコントロールセンサー機器でのカスタムシグネチャを脅威情報から作成する検知ルール作成 ( カスタムシグネチャ等 ) 利用するツールについて市場調査やプロトタイピングや開発を行いツールを更新する不足機能の穴埋めオペミス防止作業効率化自動化ツールの研究開発を実施する監視センサーなど現在利用している製品の調査や検証監視センサーなど今後導入する製品の調査や検証手順書の作成 12

セキュリティの対応を行う組織の持つ機能と役割 (8/10) 監査と内部犯行対応機能の持つそれぞれの役割と概要は以下である監査や内部調査が行えるよう支援をする機能である監査自体はセキュリティの対応を行う組織の範囲からは外れる機能役割概要監査と内部犯行対応監査データの収集と配布監査コンテンツの作成と管理内部犯行事案のサポート内部犯行事案の調査監査で利用するデータを収集する要求に応じてデータを提供できるようにする監査で利用するために SIEM やログ管理からデータを抽出する内部犯行が起きていないか調べたり起きている際には情報収集や分析の支援を行う内部犯行が起きた時に対応を行う 13

セキュリティの対応を行う組織の持つ機能と役割 (9/10) 診断と評価機能の持つそれぞれの役割と概要は以下である監視やインシデント対応の前段としての予防的な診断や評価を行う機能役割概要診断と評価ネットワークのマッピングアセット情報収集脆弱性診断侵入テスト脆弱性の評価システム部門などから提出された情報の確認を行う確認のために現状のネットワークや機器のマッピングを行う顧客のアセット情報の調査収集を行うアセット情報を活用するため分析チームへ提供する脆弱性診断を行う侵入テスト ( ペネトレーションテスト ) を実施する RedTeam システムを調査結果脆弱性がどこにありどう対応するか報告する Blue Team 14

セキュリティの対応を行う組織の持つ機能と役割 (10/10) 外部との連携機能の持つそれぞれの役割と概要は以下である社内の他の組織の支援や連携を行う支援や連携の例として広報や教育部門を想定する機能役割概要外部との連携製品の評価メディア対応の窓口支援研修や啓発内部への把握している状況の公開セキュリティコンサルティング外部への脅威情報の公開社内で利用したいツールについてセキュリティの観点から評価を行うニュースメディアとの窓口の支援を行う社員に向けた研修や啓発の資材を用意して研修を支援するセキュリティの対応で得られている情報を取りまとめて社内へ公開する社内におけるネットワークからの防御以外の部分についてセキュリティの観点からアドバイスを行う監視やインシデント対応によって得られた情報を公開できる形式にして外部へ公開する 15

日本における SOC,CSIRT の呼称についてセキュリティの対応をする組織については社内の他組織とも連携しつつ一体で防御を行うべきである日本においては監視やインシデント対応時のレスキューサービスを SOC インシデント対応をする組織を CSIRT と呼称する場合が多い SOC 監視報告 CSIRT 監視系インシデント対応時のレスキュー分析依頼インシデント対応 16

セキュリティの対応を行う組織の持つ機能と組織の関連それぞれの機能が主に SOC,CSIRT のどちらで実現されるかを示す機能リアルタイム分析脅威情報と傾向分析インシデント対応と分析証拠の分析ツールのライフサイクルのサポート監査と内部犯行対応診断と評価外部との連携組織 SOC SOC,CSIRT SOC,CSIRT SOC SOC SOC,CSIRT SOC CSIRT 17

SOC,CSIRT の機能とアウトソースの活用機能の内容によってはアウトソースが活用できない部分が存在している社内での意思決定や判断他部署との連携が必要な部分のアウトソースはできない GRC の G: ガバナンスの部分はアウトソースができないアウトソースできない部分は CSIRT 関連の部分が中心 CSIRT 外部との連携 SOC 脅威情報と傾向分析インシデント対応と分析監査と内部犯行対応証拠の分析診断と評価リアルタイム分析ツールのライフサイクルのサポート 18

セキュリティの対応を行う組織の内部組織セキュリティの対応を行う組織の持つ内部の組織は以下である機能ついては複数の組織に分散しているものもある組織ティア 1 ( 監視 ) ティア 2 ( 高度な分析 ) 情報収集分析 ( 専門知識の活用 ) システム管理技術開発機能リアルタイム分析脅威情報と傾向分析のための情報収集インシデント対応証拠の分析監査と内部犯行対応診断と評価脅威情報と傾向分析証拠の分析外部との連携ツールのライフサイクルのサポート監査と内部犯行対応ツールのライフサイクルのサポート 19

セキュリティの対応を行う組織の組織図例セキュリティの対応をする組織図の例は以下である CISO ティア 1 ティア 2 リアルタイム分析インシデント対応と分析情報収集分析外部との連携システム管理ツールのライフサイクルのサポート技術開発ツールのライフサイクルのサポート脅威情報と傾向分析証拠の分析脅威情報と傾向分析監査と内部犯行対応監査と内部犯行対応証拠の分析診断と評価業務が分かれるものもあるため複数の組織にまたがるものもある出典 :MITRE 社 Ten Strategies of a World-Class Cybersecurity Operations Center Figure10. 20

セキュリティの対応を行う組織による対応の例平時は情報収集と監視を行っているため CISO からは活動の成果が見えにくい CISO 相互に連携報告ティア 2 有事の際はインシデントレスポンスや専門の分析を行うティア 1 情報収集分析平時は社員教育や注意喚起を実施するシステム管理運用技術面での支援技術開発 21

セキュリティの対応を行う組織の例企業内に CSIRT を持つ場合 SOC 機能をアウトソースすると次のような組織図となる CISO アウトソースの SOC サービスティア 1 22 ティア 2 インシデント対応と分析監査と内部犯行対応情報収集分析外部との連携脅威情報と傾向分析ユーザ企業 CSIRT ユーザ企業では社内外の窓口やインシデント対応の取りまとめを行いアウトソースの SOC サービスにおいて専門分野を取り扱うティア 2 情報収集分析システム管理技術開発

組織の構成と要員の配置例 SOC に関連した機能についてどの程度の要員の配置が必要かを試算する試算にはある程度の規模が必要なためここではアウトソース先の SOC サービスでの要員の配置例を整理するティア 2 CISO 情報収集分析ユーザ企業 CSIRT 複数のサービス対象こちら側のみ検証するアウトソースの SOC サービスティア 1 ティア 2 情報収集分析システム管理技術開発 23

モデルケースの試算の前提モデルケースとして監視対象のユーザあるいは IP アドレスが 1 万件程度ティア 1 の監視メンバーのみ 24 時間 365 日の対応を想定する対象となる IP アドレスとはユーザの扱うパソコン 1 台ずつだけではなく社内に存在するスマートフォンやタブレットプリンターなどネットワークに接続されているもの全てを想定する平時の業務での想定とするトラブルの規模によりピーク時の要員数が変化するためである地理的な条件や監視対象が分散している場合は含まず 1 箇所を監視や対処を実施する想定とするティア 1 24 時間 365 日の監視ティア 2 以降のエスカレーション後は平日日勤帯対応パソコンパソコンスマートフォンスマートフォンタブレットタブレットネットワークに接続されたプリンターファイルサーバ (NAS) などなど 24

組織に必要な分析官の人数の例ティア 1 ティア 2 情報収集分析システム管理技術開発のそれぞれに必要な人数を整理する実際の業務や監視の範囲や難易度により人数は変化するティア 2 分析官や情報収集分析官はよりスキルの高い要員が必要である最低限の要員数では前述の全ての役割を実施することは難しいティア 1 システム管理 : ティア 2 情報収集分析 = 1 席 :2 席 = 6 人 :2 人 +2 人 = 12 人 :4 人 +2 人 : = 2 : 1 技術開発 = 2 人 : 1 人 = 4 人 : 2 人ティア 1 分析官を 24 時間 365 日で 1 席維持するならば 6 人必要となる脆弱性の診断や評価には 3 4 名必要でティア 2 分析官を兼ねる全ての役割に分析官を揃えて安定的なサービスを考慮するのであれば 24 人程度は必要 25

それぞれの役割での必要なスキル (1/11) 前提としてはコンピュータサイエンス全般の知識が必要であるセキュリティの状況や動向は変化するので継続的な学習も必要である分類役割スキルリアルタイム分析コールセンター NW ログ分析 PCAP ログ分析コミュニケーションネットワークの知識被監視対象機器に関する知識 ( 技術的な知識お客様業務知識 ) ネットワークの知識パケットの知識 26

それぞれの役割での必要なスキル (2/11) 前提としてはコンピュータサイエンス全般の知識が必要であるセキュリティの状況や動向は変化するので継続的な学習も必要である分類役割スキルリアルタイム分析トリアージ情報収集分析妥当性確認全体分析品質確認業務範囲の管理脅威情報の知識 ITIL( 運用品質確保の基本条件 ) 被監視対象機器に関する知識 ( 技術的な知識お客様業務知識 ) 上記各役割のスキル上記各役割のスキル上記各役割のスキル 27

それぞれの役割での必要なスキル (3/11) 分類役割スキル脅威情報と傾向分析脅威情報の収集分析脅威情報の配信脅威情報の作成定期レポートの生成対策への組み込み OS,NW, ソフトウェアの知識脆弱性の知識 UG へのコネクション OS,NW, ソフトウェアの知識脆弱性の知識文章力 OS,NW, ソフトウェアでの構築検証のスキル脆弱性の知識文章力 OS,NW, ソフトウェアでの構築検証のスキル脆弱性の知識文章力サーバやアプライアンス機器の知識脆弱性の知識 28

それぞれの役割での必要なスキル (4/11) それぞれの役割に対して必要な IT のスキルとセキュリティのスキルは以下である分類役割スキルインシデント対応と分析オンサイトでのインシデント対応 OS,NW, 脆弱性や攻撃の知識お客様業務アプリ知識お客様業界知識法令知識リモートでのインシデント対応 ( 上記スキル ) インシデント分析 ( 上記スキル ) 侵入手口の分析対策の実現 OS,NW, 脆弱性や攻撃の知識マルウェア解析のスキル OS,NW, 各種アプライアンスの設定 29

それぞれの役割での必要なスキル (5/11) それぞれの役割に対して必要なITのスキルとセキュリティのスキルは以下である分類役割スキルインシデント対応と分析インシデント対応の調整役コミュニケーション監督官庁との連携サプライチェーンとの連携事業部門やSIerとの連携経営層との連携ビジネスの影響の分析インシデントクローズ宣言インシデントクローズ報告コミュニケーション監督官庁の法令コミュニケーションサプライチェーンの業務知識コミュニケーション SIer の構築したシステムの知識コミュニケーション社内の方針や経営の知識社内の方針や経営の知識コミュニケーションコミュニケーション社内の方針や経営の知識文章力 30

それぞれの役割での必要なスキル (6/11) それぞれの役割に対して必要な IT のスキルとセキュリティのスキルは以下である分類役割スキル証拠の分析フォレンジックの証拠の取り扱いマルウェアや仕掛けられたものの分析フォレンジックの証拠の分析フォレンジックツールのスキル証拠データの扱いに関する知識 NW のパケットの解析マルウェアの静的解析マルウェアの動的解析マルウェア解析メディアやモバイル端末のデータの解析報告の文書化のスキル 31

それぞれの役割での必要なスキル (7/11) 分類役割スキルツールのライフサイクルのサポート境界面で防御するデバイスの管理資産管理 SOC のインフラの管理運用監視設備 ( センサ以外も含む ) のメンテナンスインシデント対応製品導入支援各種サーバの運用の知識アプライアンス機器運用の知識ソフトウェアやハードウェア製品の知識サーバー,NW の運用 ITIL( 運用を意識したツール配備が必須 ) 監視機器に関する知識 ( 技術的な知識お客様業務知識 ) インシデント対応で利用されるソフトウエアやハードウェア製品の知識 32

それぞれの役割での必要なスキル (8/11) 分類役割スキルツールのライフサイクルのサポートセンサーのチューニングと維持管理カスタムシグネチャの作成ツールの開発と配備ツールの研究開発製品情報収集 / 検証アプライアンス機器の知識アプライアンス機器の知識脆弱性と攻撃手法の知識 OS,NW の知識脆弱性と攻撃手法の知識市場調査プログラミング + セキュアコーディング OS,NW の知識脆弱性と攻撃手法の知識プログラミング + セキュアコーディングソフトウェアやハードウェア製品アプライアンス機器の知識 33

それぞれの役割での必要なスキル (9/11) 分類役割スキル監査と内部犯行対応監査データの収集と配布監査コンテンツの作成と管理内部犯行事案のサポート内部犯行事案の調査システム運用の知識 SIEM やログ管理ツールの知識システム運用の知識監視データの分析法令知識監視データの分析外部とのコミュニケーション能力法令知識 34

それぞれの役割での必要なスキル (10/11) 診断と評価のスキルについては脆弱性診断士 (Web アプリケーション ) や脆弱性診断士 ( プラットフォーム ) の概要やシラバスを参考頂きたい http://isog-j.org/output/2014/pentester-web-skillmap- 201412.pdf 分類役割スキル診断と評価ネットワークのマッピングアセット情報の収集脆弱性診断脆弱性の評価侵入テスト脆弱性診断士脆弱性診断士脆弱性診断士脆弱性診断士脆弱性診断士 35

それぞれの役割での必要なスキル (11/11) 分類役割スキル外部との連携製品の評価メディア対応の窓口研修や啓発内部への把握している情報の公開セキュリティコンサルティング外部への脅威情報の公開脆弱性診断士コミュニケーション能力文書力脆弱性や攻撃手法の知識コミュニケーション能力脆弱性や攻撃手法の知識コミュニケーション能力文書力脆弱性や攻撃手法の知識コンサルティングのスキルセキュリティの全般の知識コミュニケーション能力文書力脆弱性や攻撃手法の知識 36

まとめセキュリティの対応をする組織の役割を大きく 8 つに分類し日本における SOC,CSIRT における分担や全体像を組織図としてまとめた分析官がどの程度の規模でどの程度必要であるかをまとめたそれぞれの役割について必要と思われるスキルをまとめたセキュリティに特化したスキルについては継続的な学習により補強すると考えるとベースとなるコンピュータサイエンス全般や既にある OS,NW, アプリケーションやプログラミングといったスキルが重要でありどの役割で活用できそうか参考として頂きたい 37

参考文献 Ten Strategies of a World-Class Cybersecurity Operations Center (MITRE) https://www.mitre.org/publications/all/ten-strategies-of-aworld-class-cybersecurity-operations-center 脆弱性診断士 (Web アプリケーション ) スキルマップ (ISOG- J) http://isog-j.org/output/2014/about-pentester-web-skillmap- 201412.pdf http://isog-j.org/output/2014/pentester-web-skillmap- 201412.pdf 38