ブログ(トレンド&インサイト)

リモートワークSOC担当者に贈る5つのヒント

この状況は非常に困難ではありますが、新たな可能性を切り開くものでもあります。例えば、在宅勤務する社員の増加は、セキュリティ強化のチャンスでもあります。新型コロナウイルスーCOVID-19は極端な例ではありますが、これ以外のケース、例えば火事や地震、台風や水害といった災害時にも、物理的にSOCへの立ち入りができなくなる可能性はあります。攻撃者が混乱に乗じて攻撃のチャンスを狙っている時期、本ブログでご紹介するヒントを活用し、遠隔からでもSOCがコントロールを継続できるよう、備えましょう。

ヒント1: リモートワークするSOC担当者にLCDスクリーンを支給する

SOC業務というのは物理的な環境に非常に依存してまいす。例えば、大型モニターはそれだけ多くのデータを見たり、多くのアプリケーションを扱かったりするために必要不可欠です。今や大型モニターは安価になっており、贅沢を言わなければ3万円程度で購入できます。あるいは、仮想テスクトップという選択肢もあります。仮想デスクトップ機能はWindows OS、macOSの両方に搭載されています。macOS ではスワイプしながらフルスクリーンでアプリケーション間を行き来できますし、Windowsなら仮想デスクトップで簡単に同じ機能を実現できます。

ヒント2: クラウドによるデータアクセスに着目

SIEM(Security Information and Event Management)はセキュリティ・オペレーションにおける中心的役割を果たしています。多くのSIEMはクラウドモデルを採用し始めており、Webからクラウド上にあるデータにアクセスできるようになっています。多要素認証を利用し、かつWebに強固な暗号化がなされていれば、VPN経由でアクセスする場合と同様レベルにリスクを低減できます(ただし、VPNにも多要素認証と暗号化がなされていることが大前提です)。他のSOCアプリケーションにも、同様にクラウドモデルを採用しているものがあるでしょう。クラウドモデルは規模性、耐故障性、地理網羅性などの点に優れていますし、急に人員増強が図られた場合のプロビジョニングなどにも役立ちます。

ヒント3: コラボレーション・ツールとタスク管理ツールの統合

コミュニケーションは非常に重要です。ネット社会では誰もが「仮想人間」ではあるものの、実際、多くの人たちが対面のコミュニケーションは欠かせないと感じていることでしょう。誰もがリモートシステムであるWebブラウザやメールを使っている今、そこに「コミュニケーション」が追加されてもなんの不思議もありません。特にこういう状況においては。Microsoft TeamsやSlackなどの今どきのツールはコラボレーションと管理性の両方に対して多くの機能を提供しています。仮想ホワイトボードやwiki、タスク管理、アンケート、ボットさえ同じインターフェイスから利用可能です。これらの機能を活用すれば、インシデントデータの共有や深い検証に向けた共同作業、レスポンス活動などを、対面コミュニケーションをしのぐ速さで実現できます。また、SharePointでドキュメント管理しているユーザーであれば、Teams経由でのドキュメントのアクセスや変更を簡単に行うこともできます。G-suiteや多のツールも同様の機能を提供しています。

ヒント4: 安全なビデオ会議システムを利用する

ビデオ会議は、対面コミュニケーションに次ぐ方法と考えられがちですが、Webやビデオ会議システムそのものがセキュリティ的に危険な場合があります。攻撃者はビデオ会議の設定を調査し、こっそり参加できる会議がないか探しています。攻撃者がすでに標的の環境への侵入に成功していたら、従業員のコミュニケーション方法が筒抜けになっているでしょう。それはつまり攻撃者がSOCチームの会議に参加する機会を、そしてそこで今後のセキュリティ投資の方向性などの、攻撃者にとって有益な情報が漏えいするリスクを生みかねないのです。

ビデオ会議の参加者にも注意を払うべきでしょう。携帯電話経由で音声のみ参加の場合、誰が参加しているかの把握は非常に難しくなります。この問題を回避する方法は、まずはビデオ会議に参加するのに必要なPCを貸与すること、そして多要素認証による認証を施すことです。ダイヤルインを許可している場合には、その人が本当に参加していい人かを確認する別の手段を用意しなければなりません。誰が会議に参加してきたかをチェックする人も必要かもしれません。ダイヤルインなどの外部からのアクセスに対して認証を求める会議システムの利用も、一つの解決策になり得ます。

ヒント5: 「正常時」のリモートワークに備える

リモートによるセキュリティ・オペレーションに必要な人員と、必要となる技術を提供した上で、正常時にリモートワークを行う要員についても考えていきましょう。家から業務を遂行するにあたって必要な技術が提供されている前提で、継続的な在宅勤務環境におけるニーズとのギャップを効果的かつ効率的に判断することができます。同時に、本ブログで取り上げたツールを活用した仮想空間でのコラボレーションに慣れていくこともできます。攻撃机上演習にリモートワークを取りあげるのもよいでしょう。

まとめ

SOCはセキュリティを目的としたファシリティですが、機密性や一貫性といった課題はSOCの外にも広がります。可用性もまた課題の一つです。つまり、どのような状況にあろうと、SOCアナリストやエンジニアは通常時と同じように業務をこなせなければならないのです。多要素認証やVPN、安全なクラウド上のセキュリティ機能などを活用することで、SOCがインシデントに関わる詳細情報を世に晒すことなく、効率的に機能することができます。これらの技術やソリューションを包括的に利用することで、インシデントと自然災害が同時発生した場合にも、セキュリティ部門は機敏に対応することが可能になります。
 

本ブログは、米FireEyeが公開した April 14, 2020「Five Tips to Enable Remote SOC Worker」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa

 

関連リンク