WAFの運用とSOCの関係

WAFの運用とSOCの関係

コラムでは、WAFの選定する際のポイントの1つである「WAFの運用をどうすべきか」という課題について、SOCという専門部門を設置するというアプローチからお答えしていきます。

WAFを選定する上でのポイント

WAFを選定する際のポイントとして価格や機能比較を行われる方は多いと思いますが、 価格や機能と同じくらい重要であるにも関わらず見落としがちな点として、運用というポイントがあります。

いくら低価格であり、具備している機能が充実していたとしても、運用がおろそかになってしまうと、せっかく導入したWAFを生かすことが出来ず、逆にセキュリティリスクとなってしまうこともあります。

WAF導入後は、正しくWAFを運用することが自社サイトをセキュアに保つためのポイントとなります。 では、どのような運用を行えばWAFを十二分に生かし、自社サイトをセキュアに保つことが出来るのでしょうか。  

WAF導入後の運用

WAFの運用者は自社サイトへの攻撃の状況を監視/解析する必要があります。

たとえば、頻繁に攻撃を行っている攻撃者をWAFでブロックするような設定をしたり、新規に発見された攻撃手法を用いて攻撃を受けている場合、その攻撃手法/脆弱性をWAFでブロックする設定をしたりすることもできます。

このように自社サイトへの攻撃の状況を監視/解析することにより、WAFの設定を攻撃/脆弱性に対して常に最新化することができ、自社サイトのさらなる保全に繋がります。  

自社サイトの最新攻撃の状況を監視/解析を行わない場合、WAFの設定を最新化するための情報を得ることができず、WAFの設定が陳腐化してしまいます。

その結果、WAFを導入しているにも関わらず、攻撃を受けて自社サイトのサービスが提供できなくなったり、自社サイトで管理しているお客様情報等の機密情報の漏洩が発生したりするリスクが出てきてしまいます。

そのような攻撃の状況の監視/解析を行う専門部門をSOCと呼びます。  

SOCとは

SOCとはSecurity Operation Centerの略であり、監視/解析を含め主に以下のような運用が24時間365日体制で行われています。

  • ・セキュリティ機器の選定/導入/チューニング
  • ・ログの分析/解析
  • ・経営層や最高情報セキュリティ責任者(CISO)への臨時/定例報告
  • ・SOC業務の効率化

セキュリティ機器の選定/導入/チューニングでは、WAFに限らず世の中にある様々なセキュリティ機器から自社サイトを保全するために機能面、費用面、運用面等の観点から最適な機器を選定します。

また選定するだけではなく、監視/解析やインシデント対応等の運用を最適化するためにSIEM等の他製品との連携や、自社サイトの仕様に適したチューニングを行う必要があります。  

ログの分析/解析については前述しておりますが、自社サイトへの攻撃の状況を監視/解析することにより、リスクがある攻撃を見つけた場合は速やかに自社サイトや運用しているセキュリティ製品に対して、設定すべき項目の洗い出しやチューニング項目をフィードバックすることが出来ます。  

上位層への報告(臨時、定例)では、監視/解析の状況や保全状況、攻撃傾向等を取りまとめ、上位層に報告を実施します。

上位層への報告により、経営層に現状のセキュリティやリスク状況の認知を促したり、さらなる自社のセキュリティ対策の推進に繋げたりすることが出来ます。  

SOC業務の効率化では、前述した運用、特に全作業の大きな割合を占める行われるログの分析/解析やインシデント対応時の作業効率化を行います。

効率化を行わない場合、ログの分析/解析以外の運用が全うできなかったり、インシデントの早期発見/対応が送れたりするなどの影響が出ることが考えられます。  

上記のような運用を日々行うことにより、自社システムを保全し、自社のセキュリティリスクの未然防止や早期発見/対応を実現しています。  

SOCの運用は世界の大企業ではスタンダートであり、企業ごとにSOC部門を持つことが多いです。しかし、実態として日本ではSOC部門を持つ企業は非常に少ないです。 なぜ、日本はSOC部門を持つ企業が少ないのでしょうか。    

日本企業がSOCを運用するため課題

日本企業がSOCを運用するための課題としては、人員コストと教育であると言われております。

まずは人員コストについて、前述した4つの運用を実現するためには、24時間365日稼働できる体制を確保する必要があります。

例えば、社員の労働時間は1日8時間かつ3人1チームであると考えた場合、単純計算で9人の人材が必要となります。 1つのシステムを保全するために9人配置することは、容易ではありません。  

次に教育については、日本は数年前からセキュリティ人材が不足していると言われており、 セキュリティ人材の不足数は年々増加しています。 そのような人員不足の中、SOCチームとして活躍できるような専門知識をもつスペシャリストを早急に育てることは非常に難しく、時間と教育コストが大きくかかります。  

両課題とも解決するのは決して簡単ではないため、WAFだけのためにSOCを設立/運用することは非現実的でしょう。 WAFの運用を外部に委託するのも選択の1つです。しかしながら、外部委託の場合でも高コストが高くなってしまう傾向にあります。  

SOCの代わりにもなるTrustShelter/WAF

NTTテクノクロスの「TrustShelter/WAF」は、「世界的に見て悪意あるユーザである可能性が非常に高いIPからの通信」や「最新の攻撃手法」をいち早くブロックすることができ、SOCの代わりに常にWAFを最適な状態にすることが可能です。

また、自社サイトへの攻撃を分析し、お客様が利用しやすい様にその結果をサマリ化した情報を提供することが可能です。

WAFの選定でお困りの際は、お気軽にNTTテクノクロスへご相談ください。