
利用中のセキュリティ監視対策にアドオンできる、
高度な分析でお客様の負担を軽減できるセキュリティ監視サービス
「INTELLILINK カスタムSOCサービス」はSIEM※1・UEBA※2を用いて、高度な分析を行い、企業や組織のセキュリティ運用負荷を低減することを目的としたサービスです。
お客様がご利用中のセキュリティ機器にも柔軟に対応し、大量のログ情報をもとに不正の兆候を発見するシステムの構築・運用から、企業・組織のCSIRT※3との連携によるインシデントレスポンスまで一気通貫でサポートします。
セキュリティを取り巻く概況の変化
近年の顧客環境のグローバル化、サプライチェーン攻撃に代表されるサイバー攻撃の変化、および法規制の動き等の内外環境の変化に伴い、高度なセキュリティ運用の実現が急務になってきています。
- アタックサーフェス(攻撃者にさらされた、攻撃を受ける接点となり得るポイント)が増加
- 高度なセキュリティ運用の実現が急務に
1ビジネス環境の変化
働き方改革やDXの推進
- 場所や端末によらず、業務を実施可能な環境
ビジネスの多拠点展開
- サプライチェーンの多様化
2規制・規則の変化
日本
- 2020年:サプライチェーン攻撃に関する注意喚起
- 2022年:経済安全保障推進法
米国
- 2021年:国家のサイバーセキュリティ向上に関する大統領令(EO 14028)
EU
- 2022年:重要インフラセキュリティ対策強化(NIS2指令)
- 2022年:サイバーレジリエンス法案
3サイバー攻撃の変化
本丸ではなく、弱い進入口狙い(サプライチェーン攻撃)、各拠点/委託先/取引先/クラウドサービスが標的に
「INTELLILINK カスタムSOCサービス」の概要
高度な知識とスキルを持つ技術者が、SIEM・UEBAを用いて高度な分析を行い、お客様のセキュリティ運用の負荷を低減するサービスをご提供します。
お客様がご利用されている様々なセキュリティ機器・ソフトウェアに柔軟に対応します。他社が導入したセキュリティ機器・ソフトウェアに対してもサービス提供可能です。
サービス提供イメージ
「INTELLILINK カスタムSOCサービス」の特長
- 運用にあたり高度な知識が必要となるSIEM・UEBA・EDR※4に標準で対応
- お客様が導入しているセキュリティ機器に対してカスタマイズ対応可能
- 端末隔離やユーザーヒアリングなどインシデントレスポンスの代行も対応可能
- 日本語でのサービスに加え、英語(メール・ポータル)での対応も可能
セキュリティ監視の運用における課題とサービス導入効果
課題
課題① 大量の過検知/誤検知
- 大量発生する過検知/誤検知アラートの処理に多大な時間を要する
課題② ログ調査および正誤判定が困難
- セキュリティ製品を導入したが、アラートを見ても正誤判定が難しい
- 複数のセキュリティ機器から出力される大量のログを相関分析できず、インシデント発生時の原因調査や報告に時間がかる
課題③ セキュリティ製品の設定変更が困難
- アラート検知後、導入しているセキュリティ機器の設定変更方法が分からない
課題④ 利用中のSOCサービスの品質に不安
- 利用中のSOCサービスが十分に機能しているのか分からない
- 監視できていない製品がある
本サービスの提供内容
提供① モニタリング
- SIEM・UEBAの検知ルールを作成し、脅威に繋がる真に危険なアラートのみを調査
- 高度なセキュリティ知識を有したセキュリティアナリストが分析を行い、正誤判定を含めた事象の切り分けを実施する
提供② CSIRT連携・インシデントレスポンス
- 一次調査でクローズできないアラートは、CSIRTなどインシデント対応組織へエスカレーションし、インシデント早期解決と被害の最小化を目指し、必要に応じて追加調査を実施する
提供③ レポート・チューニング
- 必要に応じ、監視対象となる端末やセキュリティ機器の追加や構成変更などに柔軟に対応
- 運用状況をレポートし、SIEM・UEBAの検知ルールのチューニング等も適宜実施する
サービス導入による効果
効果① 効率的なアラート対応が可能
- SIEM・UEBA含め、セキュリティ機器の検知ルールを適切にチューニングし、真に危険なアラートのみ調査が可能
効果② ログ調査および正誤判定が可能
- 高度なセキュリティ知識を有したセキュリティアナリストが分析を行うことで、正誤判定やインシデントの早期解決が可能
効果③ セキュリティ製品の設定変更が可能
- お客様環境に導入されているセキュリティ製品の設定変更を、セキュリティアナリストが代行する
効果④ 網羅的なセキュリティ監視を実現
- お客様が利用中のセキュリティ機器も監視対象に含め、統合的な監視運用を実現
- 必要に応じ、監視対象となる端末やセキュリティ機器の追加や構成変更などに柔軟に対応
- 運用状況をレポートし、セキュリティアナリストがSIEM・UEBAの検知ルールのチューニングやセキュリティ機器の適切な設定変更を実施
「INTELLILINK カスタムSOCサービス」監視対象
本サービスで提供する監視対象例は下記のとおりです。具体的な製品名についてはお問い合わせください。
- ID管理・認証、SWG(Web通信監視)
- メールセキュリティEDR(端末検知)
- SIEM・UEBA(ふるまい検知)
- ※1SIEM:Security Information and Event Management:セキュリティソフトの一つで、様々な機器やソフトウェアの動作状況の記録(ログ)を一元的に蓄積・管理し、保安上の脅威となる事象をいち早く検知・分析する製品
- ※2UEBA:User and Entity Behavior Analytics:不審な活動の分析作業や検知するための製品
- ※3CSIRT:Computer Security Incident Response Team:セキュリティインシデントの未然防止や、インシデント発生時の被害を最小限に抑えるための対応を行うチーム。脆弱性情報などの収集・分析、インシデント発生時の緊急対処、社内外の組織との情報共有や連携などを実施
- ※4EDR:Endpoint Detection and Response:ユーザーの利用する機器の不審な挙動を検知し通知する製品
- ※文中の商品名、会社名、団体名は、一般に各社の商標または登録商標です。