関連するソリューション
セキュリティサービス
セキュリティ製品
サイバー・セキュリティ・ソリューション部
テクニカルスペシャリスト
青山 武志
導入
前回のコラムでは、バックアップの重要性と復旧テストについてお話しさせていただきました。その中で、「次回はOSINTかSIEMルールか、Blue Teamアナリストあたりをテーマにしてみようかと思っています」と締めくくりました。今回のコラムは、宣言していた通り、セキュリティ運用を担うBlue Team、その中の最前線に位置するSOC(Security Operations Center)での監視、少しですがIT運用の監視との違いについてお話しします。
Blue Teamというと、サイバー演習等での防御側をイメージされる方もいらっしゃるかもしれませんが、本コラムではBlue Teamアナリスト=SOCアナリストとして扱っています。
SOCとは
さて、SOC(Security Operations Center)という言葉を耳にしたことはありますか?多くの企業では「セキュリティ監視センター」と訳されていますが、その定義は思いのほか曖昧です。
一般的には、24時間体制でセキュリティイベントを監視し、インシデント対応を行う組織体制を指します。しかし、SOCの規模や成熟度は企業によって大きく異なります。
小規模なSOC: 数名のセキュリティエンジニアが兼務し、アラート対応とログ確認がメイン業務。情報システム部などがIT運用の一環で簡易的に行っている場合もあります。
成熟したSOC: 複数の階層を持つアナリストで組織され、脅威インテリジェンス部門、フォレンジック専門家などが在籍し、24/7運用体制での対応が行われます。
マネージドSOC:専門のセキュリティ業者に委託。監視のみやインシデントレスポンス支援など、契約により対応内容は様々。
では、SOCの中で何が行われているのか。大きく分けて以下の機能があります。
- イベント検出・分析:SIEMやNIDSなどのツールから大量のアラートを受け取り、その中から真の脅威を特定する
- インシデント対応: 確認された脅威に対して、初期対応から復旧まで一連の対応を実施する
- 脅威情報の収集・分析: 外部の脅威インテリジェンスや内部のログを分析し、組織に対する脅威の全体像を把握する
- セキュリティ態勢の改善: インシデント対応の経験をフィードバックし、検知ルールやプロセスを継続的に改善する
SOC内での監視の役割
SOC内では、多くの監視装置やツールが稼働しており、膨大なログやアラートが日々生成されています。例えば:
- ファイアウォール: ネットワーク境界でのトラフィック制御とログ記録
- IDS/IPS: ネットワーク内の異常な通信パターンの検出
- SIEM: 複数のセキュリティツールとシステムログを一元化し、相関分析を実施
- エンドポイント検出・応答(EDR): 端末上での不審な振る舞いやプロセス実行を検出
- Webアプリケーションファイアウォール(WAF): Webアプリケーション層での攻撃検出
これらの装置から生成される「アラート」は、1日に数千件、時には数万件に及ぶこともあります。その全てが脅威というわけではなく、誤検知や、環境特有の許容可能なアクティビティも含まれています。
SOC内での監視とは、これらのツールが生成する膨大なシグナルの中から、真の脅威を特定し、優先順位を付けて対応する作業なのです。
その過程で、アナリストは様々なスキルセットを駆使します。ログの読み方、アーティファクトの抽出、脅威インテリジェンスの活用、そして何よりも「判断力」が求められます。
SOCアナリストについて
SOCメンバーは、日々サイバー攻撃の最前線で対応する重要な役割を担っており、その業務は決して地味なものではありません。そしてSOCアナリストは通常、複数の階層に分かれ、Tierというレベルで表現されています。
Tier1〜Tier3は、SOCにおける“役割ごとの専門レベル”を区分したものです。
Tier1: アラート対応の初期フィルタリング。多数の誤検知を見分け、本当の脅威の可能性があるものをTier2に上げる役割
Tier2: より詳細な調査。複数のデータソースを横断的に確認し、インシデントの有無を判定。深い技術知識とツールの操作スキルが必要
Tier3(ハンター・スペシャリスト): 既知の脅威の検出だけでなく、組織特有の未知の脅威を主動的に探索する「脅威ハンティング」を実施
各階層は異なるスキルセットと経験レベルを必要とします。
Tier1では、大量のアラートから本当の脅威を見分ける「目利き」が求められます。一つの誤検知に時間をかけすぎず、限られた時間で効率的に判断することが重要です。
Tier2では、より深い技術知識が必要です。ネットワークプロトコル、OSの動作原理、アプリケーションの挙動、マルウェア解析の基礎知識など、複数の領域にまたがる知識を統合して判断する必要があります。
Tier3では、既知の脅威検知ルールだけに頼らず、アナリスト自身が「何が異常か」を定義し、組織に対する潜在的脅威を主動的に検索する必要があります。これは最も高度なスキルを必要とする役割です。
では、これらのアナリストが実際に取り組む「監視」とは、具体的にはどのようなものなのか。次のセクションで、IT運用監視との違いについて説明します。
IT運用監視とセキュリティ監視の違い
「監視」という言葉は同じでも、IT運用監視(システム障害監視) と セキュリティ監視 では、見ている対象も、判断基準も、行動の仕方も大きく異なります。両者の役割は明確に分かれており、それぞれが異なる視点からシステムを見守っています。IT運用監視は、システムが正常に動作しているかを確認するための監視です。CPU使用率、メモリ、ディスク容量、レスポンス遅延、サービスダウン、Job異常終了といった、システム障害の有無を判定するための定量的なシグナルを扱います。主な目的は、業務サービスの継続性を守ることであり、いかに早く障害を検知し復旧へつなげるかが重視されます。
一方でセキュリティ監視は、ログイン試行、通信パターン、ファイルアクセス、プロセスの挙動など、振る舞いの異常や悪意ある兆候を監視します。正常に稼働しているシステムであっても、内部に潜む不正アクセスやマルウェア活動を捉えることが目的であり、判断の基準はパフォーマンスではなく「兆候の意味」です。
両者の“立ち回り”の違いを整理すると、以下の表のようになります。
| 項目 |
IT運用監視 |
セキュリティ監視 |
|---|---|---|
| 主な目的 |
サービス可用性の維持、パフォーマンス確保 |
不正アクセス、データ流出、マルウェア感染の検出 |
| 監視対象 |
CPU使用率、メモリ、ディスク容量、レスポンスタイム、Job |
ログイン試行、通信パターン、ファイルアクセス、プロセス実行 |
| アラートの性質 |
閾値超過による定量的アラート Jobの稼働結果による状態通知 |
異常な振る舞いや既知の悪意あるパターン |
| 対応の時間軸 |
リアルタイム性が重要(数分~数時間) |
脅威の性質によって異なる(数秒~数日) |
| 必要なスキル | インフラストラクチャ、ネットワーク基礎 |
セキュリティ脅威知識、解析スキル、判断力 |
| 誤検知への対応 |
業務影響を最小化することが優先 |
脅威を見落とさないことが優先 |
この差が実務上の立ち回りに大きく影響してきます。
つまり、IT運用監視は「システムを止めないために見守る」活動であり、
セキュリティ監視は「潜む脅威を見逃さないために警戒する」活動です。
見ている指標、アラートの性質、対応の優先度が異なるため、日々の運用や判断プロセスは全く別物になり、端的に言うと可用性・機密性・完全性の何を確保したいのかといった違いになります。
IOCと脅威インテリジェンス
さて、ここからは、SOCアナリストが実際に使用するツールや情報源について説明していきます。IOC(Indicator of Compromise) という言葉をご存じでしょうか。これは、セキュリティ分析の中で極めて重要な概念です。
IOCとは、システムが何らかのマルウェアやサイバー攻撃の対象になったことを示す痕跡や指標のことです。
具体例を挙げれば:
- ファイルハッシュ値: 既知のマルウェアのMD5やSHA256
- IPアドレス: 既知の悪意あるサーバーやC&C(コマンド&コントロール)サーバー
- ドメイン名: フィッシングサイトやマルウェア配信サーバー
- URLパターン: 攻撃に利用される特定のURLパス
- メールヘッダー: スパムやフィッシング、過去の攻撃キャンペーンの特徴
これらのIOCは、公開されている脅威インテリジェンスデータベースから入手できます。セキュリティベンダーやセキュリティ研究者により、新たに検出された脅威に関するIOCが日々公開されています。
SOCアナリストの重要な作業の一つが、これらのIOCをSIEMやその他の監視ツールに登録し、組織内でそれらのIOCに該当するアクティビティが発生していないかを継続的に監視することです。
例えば、新しいランサムウェア「Foo Ransomware」が発見され、その通信先IPアドレスがIOCとして公開されたとします。SOCアナリストはそれを素早くSIEMに登録し、自組織のネットワークログを検索して「既に感染していないか」を確認します。これは防御側にとって極めて重要な作業です。
しかし、ここで注意が必要です。IOCは、その有効性に時間的な限界があります。 攻撃者は継続的に新しいインフラを準備し、新しいマルウェアを作成します。古いIOCは急速に陳腐化していきます。また、将来的な有効性とは別の観点で、そのIOCが悪性と判明するまでに時間差がある点にも注意が必要です。これらは、セキュリティベンダーや情報共有サイト等でファイルやアクセス先が悪性かどうかを調べるケースが多いですが、これらの情報は登録されるまでのタイムラグがどうしても存在してしまいます。
したがって、SOCが真に有用であるためには、単に公開されているIOCを使用するだけでなく、脅威インテリジェンス(Threat Intelligence)という、より戦略的な分析が必要になります。
脅威インテリジェンスは、IOCという「点」の情報を、組織にとって意味のある「線」や「面」に転換する作業です。
例えば:
- キャンペーン分析: 複数の異なるマルウェアやIOCが、実は同じ攻撃グループによるキャンペーンであることを特定する
- 属性分析: 攻撃グループの地理的所在、動機、能力、標的セクターを分析する
- 予測分析: 今後、どのような業界や規模の組織が標的になりやすいかを予測する
そして脅威ハンティングへ
セキュリティ監視に話を戻して、ここまで説明してきた「監視」「IOC」「外部サービスの活用」といったスキルは、全て既知の脅威を検出するためのものです。しかし、現実のセキュリティ脅威は、既知の脅威だけではありません。むしろ、多くの高度な攻撃は、既知のシグナチャを回避し、未知の手法を用いてきます。
ここに登場するのが、脅威ハンティング(Threat Hunting)という概念です。
脅威ハンティングは、アナリストが主動的に仮説を立て、その仮説に基づいて組織内のデータを探索し、未知の脅威を検索する活動です。
例えば、「最近のランサムウェア攻撃では、侵害から暗号化までの間に、大量のファイルが読み取られる傾向がある」という脅威インテリジェンスを入手したとします。
脅威ハンティングアナリストは、この情報から以下のような仮説を立てます。
「もし、うちの組織が既に侵害されているなら、通常と異なるファイルアクセスパターンが存在するはずだ」
その上で、EDRやファイルアクセスログを検索して、以下のような異常なパターンを探します。
- 通常と異なるプロセスが、大量のファイルを読み取っている
- 業務時間外に、通常と異なるユーザーがファイルにアクセスしている
- 侵害の初期段階として知られている「偵察活動」の痕跡(ネットワークスキャンやシステム情報収集コマンドの実行)
これまで説明してきた「IT運用監視との違い」「IOCの活用」「セキュリティベンダー等の情報源の活用」これらは全て、脅威ハンティングというTier 3レベルの活動へと至る道のりの準備段階なのです。
| 段階 |
活動内容 |
求められるスキル |
|---|---|---|
| Tier1:基礎的監視 |
大量アラートの初期フィルタリング | ツール操作、基本的なログ読解 |
| Tier2:詳細調査 |
アラートの詳細分析、インシデント判定 | ネットワーク知識、OS知識、関連付け能力 |
| Tier3:脅威ハンティング |
仮説立案から未知脅威の探索 |
脅威インテリジェンス、創造的思考、戦略的分析 |
最後に
前回のコラムで「バックアップは『取っているつもり』ではなく、『復旧できる状態』にあることが大事」ということを書かせていただきました。同じように、セキュリティ監視においても様々な考慮点があり、定型的な対応でセキュリティ監視が完結しているのでは不十分です。本当に脅威を検出できているのか、単なる誤検知を見落としていないか、未知の脅威に対して受動的になっていないか——こうした問いを常に持ちながら、セキュリティ体制を見直し続けることが重要です。
それでは、また次回お会いしましょう。
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エンジニアによるコラムやIDグループからのお知らせなどを
メルマガでお届けしています。
