サイバーセキュリティチームの構造

先日現在所属している企業で、顧客のサイバーセキュリティ組織の構造と各々の責任、悩んでいるであろうことについての社内トレーニングに参加しました。

私は常日頃、担当している顧客のIR情報を確認したりと、漠然と相手の組織のことは理解しているつもりでしたが、トレーニングを受講して、改めて自分が理解している気になっているだけで誤認していることに気づきました。

この記事では、対象組織をサイバーセキュリティに絞って、一般的なサイバーセキュリティ組織の構造と各々の役割や悩みを整理したいと思います。

先ず、多くの顧客組織内にはSOC(Security Operation Center)チームが組成されています。SOCチームの役割は、アプリケーションやインフラストラクチャから上がってくるイベントを確認して対処することです。

ほぼ全てのSOCチームが抱えている悩みは、大量のイベントからセキュリティにまつわる洞察を早く正確に獲得することかと感じています。

アプリケーションやインフラストラクチャから上がってくるイベントの中には、インスタンスを起動・停止しました等、セキュリティとは直接無関係のイベントも多く含まれています。

こちらはSOCチームのミッションを理解するために役立つ原理原則です。参考まで。

次に、IR(Incident & Response)チームがあります。IRチームの役割は、セキュリティの事故(と思われるものも含む)に対処していち早く正常状態に復旧させることです。

セキュリティ組織の中で最も泥臭くて緊張感を伴うミッションを担っている組織かもしれません。

IRチームの悩みは、発生しているインシデントが具体的に何で、自社の環境にどのような影響があるのかを正確に把握することです。

攻撃の手口は多様化しており、一見すると正常と思われる挙動をしているコンピュータでも実際はマルウェア等が侵入してるケースも多く見られます。

こちらはIRチーム必読の原理原則です。参考まで。

VR(Vulnerability Management)チームは、サイバーセキュリティ組織の中でも比較的早くから市民権を得ていた組織かもしれません。

VRチームの役割は、アプリケーションやインフラストラクチャに潜んでいる脆弱性を検知して、対処方法を検討・実行することです。

"Software Defined Everything"な昨今、ソフトウェアの脆弱性はありとあらゆるところに潜んでいて、全てに対処することは非現実的です。

VRチームの悩みは、ひっきりなしに発見される脆弱性の緊急度を色々な確度から精査して、適切な優先順位付けを行うことと言えます。

こちらは脆弱性対策のガイドです。参考まで。

最後に重要な組織として、CTI(Cyber Threat Intelligence)チームがあります。考え方自体は歴史が長くて、第一次世界大戦の頃から存在していたようです。

CTIチームの役割は、攻撃者が企てているであろう新たな攻撃パターンを、攻撃者に先んじて検知して、それらの情報(=インテリジェンス)を各チームと共有しながら、最も適切な対策を協議・助言することです。

CTIチームの悩みはSOCチームやVMチームと同等で、有象無象に存在するインテリジェンス(とうたわれるものも含む)が、自社にとってどんな相関があって何を意味するのか、早くかつ正確に洞察することです。

こちらはインテリジェンス活用の指南書です。参考まで。

一般論に最後までお付き合い頂きありがとうございます。ここで述べたサイバーセキュリティの組織構造はあくまで一般論で、現実はこのようになっていないケースがほとんどかと。

特に年小規模1,000億円以下の中小企業では、サイバーセキュリティの専門家を自社内に確保することが困難で、ITインフラストラクチャチームがサイバーセキュリティの機能を兼任しているケースがほとんどです。

一般論はあくまで一般論として、各々の顧客の事情を可能な限り正確に把握して、適切なアプローチを考え続けるしかないですね。