SOC構築を成功させる重要ポイントとその裏側

Transcript

1. © GO Inc. GO が考える、 SOC 構築を成功させる重要ポイントとその裏側 2024.08.06 IT戦略部 サービスマネジメントグループ

   / 白井 麻由 GO株式会社 1

2. © GO Inc. 2 プロフィール写真 GO株式会社 IT戦略部 コーポレートIT/ 白井 麻由

   2022年5月より、GO株式会社にてITインフラ・デバイス管理な どをメインに担当。MacadminになったのはGOから。 @yunmarurun Jamf Pro, PowerShell,Power Automate, Power Apps

3. © GO Inc. 3

4. © GO Inc. 4 - SOCチームのメンバーの一人 - セキュリティは専門ではない 自己紹介 専門分野

   - デバイス管理 - ITインフラ・社内NW管理 SOCチームでの役割 弊社のSOCチームの特徴 - アラートの一次対応 - 脆弱性対応 - ログイン周りの詳細調査など - 最後まで問題解決を行う - 各メンバーのスキルセットを 活かして協力 私のSOCチームにおける役割について

5. © GO Inc. 5 会社概要 01

6. © GO Inc. GO株式会社 GO Inc. 社名 〒530-0001 大阪市北区梅田1丁目12-12 東京建物梅田ビル8F

   〒060-0001 札幌市中央区北一条西3丁目3 ばらと北一条ビル10F 〒453-6111 愛知県名古屋市中村区平池町4-60-12 グローバルゲート WeWork 11F 〒732-0828 広島市南区京橋町1-7 アスティ広島京橋ビルディング1F 〒810-0041 福岡市中央区大名2丁目1-13 H Daimyo 〒900-0021 那覇市泉崎1丁目20-1 カフーナ旭橋A街区3階 O2 OKINAWA OFFICE 3045 大阪オフィス 札幌オフィス 名古屋オフィス 広島オフィス 福岡オフィス 沖縄オフィス 6 会社概要 資本金 1億円（2024年6月現在） 本社 〒106-0041 東京都港区麻布台1丁目3-1 麻布台ヒルズ森JPタワー23階 設立 1977年8月 従業員数 約600名（2024年6月現在） 子会社 株式会社IRIS 愛のタクシーチケット株式会社 6

7. © GO Inc. 2,200万DL突破のNo.1*タクシーアプリ。 45都道府県と最大級のエリア展開。 タクシー車両とのリアルタイムな位置情報連携と 高度な配車ロジックで「早く乗れる」体験を提供。 DXによってユーザー・乗務員の体験を向上。 対応エリア：全国45都道府県 ※順次拡大予定

   ※Sensor Tower by data.ai調べ - タクシー配車関連アプリにおける、日本国内ダウンロード数（App Store/Google Play合算値） - 調査期間：2020年10月1日~2024 年6月30日 7 タクシーアプリ『GO』とは？ 7

8. © GO Inc. タクシーアプリのキャッシュレス決済機能 乗務員向けアプリの開発・運営 主な事業 ※記載されている会社名や商品名などは、各社の商標または登録商標です。（出願中含む） タクシーの運行特性に応じたEV運行マネジメントと エネルギーマネジメントによるCO2削減 アプリ注文をメインに営業

   AIドラレコによって 危険シーンを解析・報告し運行管理に活用 タクシーサイネージメディア（動画広告） AIドラレコのデータを元に、地図と実際の道路情報の差 分をAI技術によりメンテナンス 8 タクシー配車や経費精算などを簡単効率化 した法人向けサービス タクシー乗務員に加え様々な運輸職種を紹介 GO Reserve / GO Crew GO ジョブ GO GX TOKYO PRIME 乗務員App 充電インフラ提供、エネルギーマネジメントシステムの提供、 EV車両リースなど商用車の包括的脱炭素化サービス 事業者協力型 自家用有償旅客運送 導入支援 「日本版ライドシェア」対応 「自家用有償旅客運送」対応 市中の急速充電スポットの検索・予約・決済 がオンラインで完結するEV充電サービス 8

9. © GO Inc. 9 Mac 約450台 Windows 約600台 💻 Microsoft

   Entra ID 約1,050 アカウント 弊社の環境について

10. © GO Inc. 10 EDR SIEM 通知 Microsoft Defender for

    Endpoint Microsoft Sentinel Logic Apps + Slack ツールについて

11. © GO Inc. 11 弊社のセキュリティアラート環境の概要

12. © GO Inc. 12 SOCとは？ 02

13. © GO Inc. 13 SOCの定義 SOC（Security Operations Center）は、組織のITインフラストラクチャを 監視し、セキュリティインシデントに対応する専門のチームです。 弊社では、インシデントの検知をするチームです！

    ただし、その後の対応まで手広く行うため、CSIRTに近いかもしれません。 SOCとは？

14. © GO Inc. 14 👁 リアルタイム監視 セキュリティイベントの監視とアラートの検知 🛠 インシデント対応 セキュリティインシデントの調査、分析、対応

    🌐 脅威インテリジェンス 最新の脅威情報の収集と分析 🔍 脆弱性管理 システムやネットワークの脆弱性の特定と修正 🕵 フォレンジック分析 サイバー攻撃の痕跡を調査し、証拠を収集 📊 レポーティング セキュリティ状況の報告と改善提案 SOCの機能とは？

15. © GO Inc. 15 SOC構築の背景と目的 03

16. © GO Inc. 16 セキュリティアラートが上がっても 担当が決まっていないので、対応が遅れる アラートはチューニングされておらず 重要度がよくわからない 隔離対応のオペレーションが決まっておらず その都度上長の判断が必要

    専任担当者の不在 目的がないので、改善が行われない 1 2 3 4 SOC構築前の環境について

17. © GO Inc. 17 📌 誰がセキュリティアラートの担当かわからない 誰がセキュリティアラートの 担当かわからない SOCチームが一次対応！ アラートの重要度が

    よくわからない 隔離対応のオペレーションが 決まっていない なんとなく対応 目標や目的の不在 アラートをチューニング！ 必要なものだけに！ オペレーションはルール化 成熟度モデルで目標の明確化 1 2 3 4 SOCが構築されてから

18. © GO Inc. 18 SOC構築のプロセス 04

19. © GO Inc. 19 - セキュリティの専門家 - 監視システム構築 リーダー -

    セキュリティ詳しい - 通知の自動化を作成 セキュリティメンバー - セキュリティ詳しくな い - システム管理者 - ネットワーク担当者 わたし チーム編成について

20. © GO Inc. 20 アラートのチューニング • 検知するべきものは？ • マルウェア感染の検知 •

    怪しいログインの検知 インシデント対応 • どうやって対応する？ • ルールをつくる • 訓練をする 脆弱性管理プログラム • 脆弱性情報を定期収集 • IT戦略主管の資産棚卸 • プラットフォーム診断 脅威モデリングを活用した リスクアセスメント • セキュリティリスクを 体系的に評価 • 脅威の特定 • 影響を評価 脅威インテリジェンス活用 • EDRで検知が難しい？ • Sentinelを使う • 外部IOC✖ログソース SOCチームで何に対応する？

21. © GO Inc. 21 NIST（アメリカ国立標準技術研究所）のSP800-61 「コンピュータセキュリティインシデント対応ガイド」を参照したガイドラインを作成。 これに沿って対応 どうやってインシデントに対応する？ インシデントレスポンスガイドラインに沿った対応をする！ ※

    IT戦略インシデントレスポンスガイドライン,2023より

22. © GO Inc. 一人で対応できるように 22 みんなで一緒に対応 教育フェーズ 最初は専門家から 対応方法を教わる -

    KQLの使い方を教わる - マルウェアのアラート！ 最初に何をする？ - virustotalで検索する！ みんなで一緒に アラートの対応 気づいた人が 対応するようになる - 対応しながら録画。 あとで見返したり - 一人でやってみる。 - あとでみんなと答え合わせ - だんだんコツを掴んでくる - AIを使えるようになる - AIの間違いに気付ける インシデントに対応できるようになるまで

23. © GO Inc. 23 目標・方向性はどうやって決めるのか？ 成熟度 モデル SOC チーム モデルを構築する

    STEP1 自己評価をする STEP2 チームの現在地を確認する STEP3 モデルとの差分を確認する STEP4 次の目標を設定する STEP5

24. © GO Inc. 24 成熟度モデル ①SOC運用全般 • WatchGuardの成熟度モデルを採用 • https://www.watchguard.com/wgrd-

    resource-center/ebook/empowering-soc ②脅威ハンティング活動 • The hunt Matrixを採用 • https://medium.com/@sqrrldata/the- hunt-matrix-90d8476e8765 ③ログ分析基盤 • オリジナルの成熟度モデルを採用 • AIと協力して作成

25. © GO Inc. 25 項目 レベル1 レベル2 レベル3 レベル4 レベル5

    ログ収集の 範囲 単一または限定的なソー スからのログ収集のみ。 主に手動。 複数のソースからのロ グ収集を開始。自動化 は限定的。 システム、アプリケー ション、ネットワーク 機器からの自動化され たログ収集。初期のク ラウドサービス統合。 高度な収集自動化と複 数のクラウドサービス、 仮想環境を含む広範な ソースからのログ収集。 スコープ内で必要とさ れるすべてのソースか らのログ収集。完全自 動化され、リアルタイ ムで統合される。 ログ収集の 完全性 主に手動収集で、完全性 や損失についての戦略が 不足。 ログの漏れや損失を防 ぐための基本的なメカ ニズムがあるが、まだ 不完全。 完全性を向上させるた めのツールが利用され ている。収集プロセス の定期的な監査により、 データの損失や漏れを 検出し、対処できる。 データの完全性を担保 するためのシステムと ポリシー、手順が定義 されて運用されている。 完全なデータの完全性 が保証され、すべての ログが正確に収集され る。 ログ分析の 高度化 基本的なログ分析。手動 でのレビューとシンプル な自動化ツールを実装。 初期の自動化分析ツー ルの導入。リアルタイ ム分析は行わない。 事前に定義したルール での、リアルタイム自 動ログ分析。 高度なAIや機械学習モ デルを用いた複雑な分 析。脅威の予測分析が 可能。 AIによる高度な分析が 行われ、未来の脅威を 予測し、対応する。 レベルアップ！ 成熟度モデルの例（オリジナル） ※IT戦略 SOC活動の成熟度評価基準と評価プロセスの設定について,2023より ③ログ分析基盤

26. © GO Inc. 26 SOC構築から1年 取り組みとその成果 05

27. © GO Inc. 27 セキュリティ監視の強化 監視システムの構築 Microsoft Sentinel Microsoft Entra

    ID Microsoft Defender for Endpoint ログ倉庫 脅威 インテリジェンス 外部脅威 インテリジェンス 検索エンジン ※ 中島翼,Cyber-sec+ Meetup vol.4『カスタム検知（脅威インテリジェンス）でサイバー脅威を先手で防ぐ』,2024より https://note.com/go_it/n/n282a8f0f8f63 KQL Slack 検知ルール作成 通知

28. © GO Inc. 28 - Tenable Nessusを利用したプラットフォーム診断の内製化 - 社内のNW機器に関する脆弱性診断 -

    対象機器の洗い出し・資産のリスト化 - 外部の脆弱性情報の定期確認 プラットフォーム診断の内製化 脆弱性管理プログラム

29. © GO Inc. 29 - CIS Controlsを利用したベースライン分析 - 第一弾リスクアセスメント -

    全体の現状把握・分析 - ざっくりと今の私たちの状況を理解 - 第二弾リスクアセスメント - 特にリスクが高いと考えられる部分にスコープを絞った - さらに具体的なリスクアセスメントを実施。 脅威モデリングを活用したリスクアセスメント セキュリティリスクを体系的に評価

30. © GO Inc. 30 環境を条件分けし、それぞれのリスクをレベル分けして可視化する 脅威モデリングを活用したリスクアセスメントの例

31. © GO Inc. 31 具体的な成果 検知能力の向上 対応時間の短縮 「何のアラートで」「どのくらい危険で」「隔離する必要があるか？」 をメンバーレベルで判断できるようになった インシデント対応フローができたことで、マニュアルに沿った対応ができ

    るようになった。役割を分担することで迅速な対応が可能になった。

32. © GO Inc. 32 今後の展望 06

33. © GO Inc. 33 組織内での活動 当社の攻撃の受信状況を可視化して経営層に示していく - 経営層の興味をひくための動きを強化していく！ - 予算とれない、判断してもらえないを解消する

    具体的なリスクアセスメントの結果からのリスク対策 - リスク対策からのSOC活動 - IdPなどのログイン認証を強化 - 不正ログイン検知の通知をする

34. © GO Inc. 34 今後広げていきたい領域 Jamf Protectを利用して通信のログを取得したい - Jamf ProtectをMicrosoft

    Sentinelに接続して通信ログの取得 - 新しいセキュリティアラートの構築 Jamf Connect ZTNAを利用してコンテンツフィルタリングをしたい - Jamf Protect + Jamf Connect ZTNA - コンテンツフィルタリングをして、よりセキュアな環境を作りたい - ついでにZTNAで脱VPNを目指して行きたい

35. © GO Inc. 35 セキュリティ監視にNWログをプラス 監視システムの構築 Microsoft Sentinel Microsoft Entra

    ID Microsoft Defender for Endpoint ログ倉庫 脅威 インテリジェンス 外部脅威 インテリジェンス 検索エンジン ※ 中島翼,Cyber-sec+ Meetup vol.4『カスタム検知（脅威インテリジェンス）でサイバー脅威を先手で防ぐ』,2024より https://note.com/go_it/n/n282a8f0f8f63 KQL Slack 検知ルール作成 通知

36. © GO Inc. 36 SOC構築を成功させるための重要ポイント まずはリーダーとして 専門家にお願いする！ 毎日のことなので・・・ アラート疲れしないようにチューニング やることを明確にするために

    成熟度モデルを策定して目標設定 NISTのSP800-61など 既存のガイドラインを参考にする 1 2 3 4

37. 文章・画像等の内容の無断転載及び複製等の行為はご遠慮ください。 © GO Inc. 37