EMCジャパンは11月4日、高度な標的型サイバー攻撃に対抗するCSIRTの構築・運用支援サービス「RSA Advanced Cyber Defense(ACD)」を開始した。RSA独自のフレームワークを用いて、アセスメントからコンサルティング、構築支援、運用支援、技術トレーニングまでを総合的に提供する。
CSIRT(Computer Security Incident and Response Team)は、インシデントの原因解析、影響範囲の調査、修復などを行う組織の総称。セキュリティ脅威に早期に対抗するため、その必要性が理解されてきた一方、企業規模、配置できる人員とCSIRTスタッフとしてのスキル、事業リスクの所在・種類などが企業ごとに異なるため、手本となる事例がほとんどなく、立ち上げには戸惑いが伴うという。
「体制の確立が急がれる今、必要なのはCSIRTスタッフとして機能する人材を育成し、構築、維持していくことだ」と同社。
ACDでは、CSIRT構築・運用に向けて、現状把握などのアセスメント、計画立案などのコンサルティング、構築運用のセキュリティオペレーションなどを総合的に提供する。これらはインシデント対応に関する3R「Readiness:準備力の向上」「Response:対応力の向上」「Resilience:回復力の維持」を備えたCSIRTの構築・運用を目指す、RSA独自のフレームワークに基づいている。そのフレームワークを企業ごとに異なる脅威の現状にいかに当てはめるか。そこがACDの肝となる。
ACDでは、アセスメント、コンサルティング、構築支援として6種類のサービスを用意する。
アセスメント、コンサルティング、構築支援として6種類のサービスを用意
まずは「インシデント ディスカバリー」。顧客サイトに一定期間「RSA Security Analytics」を設置し、ネットワークパケットを分析。分析結果から不審な通信などのセキュリティリスクを説明し、対策を提案する。
次に「アドバンスド セキュリティオペレーション アセスメント」として、現状のセキュリティオペレーション、体制、インシデント対応力などについて評価し、あるべき姿とギャップを分析する。評価には「COBITモデル」を採用し、複数の指標について「現状」「目標」「同業他社の平均」などが表示される。そこから優先的に対処すべき実施項目や、中長期的なロードマップを提示する。
ここで明らかになった事実に対して、人、プロセス、システムを設計するのが「アドバンストSOC構築支援コンサルティングサービス」。実際に企業の実情にあったシステムやSOC運用フレームワークを構築する。
併せてインシデント発生から再発防止の検討まで、一連のインシデント管理業務をシステム化する「インシデント管理の構築支援サービス」を提供する。インシデント管理に特化したツール「RSA Security Operation Management」を活用し、トレーニングも含めて提供する。
さらに運用支援として、SOC要員のセキュリティ運用スキルを向上させる「セキュリティ アナリスト トレーニング」や、インシデント発生時に問い合わせ対応を行う「セキュリティ インシデント ホットライン」も提供する。
軸となるのは、EMCがグローバルに約50名用意するSOCコンサルタントだ。Advanced Cyber Defense Practicedのシニアマネージャーとしてアジア太平洋・日本地域を担当するスティーブン・マッコンビー氏は「彼等はいずれも実際にSOCを構築・運用してきたものたち。グローバル企業のEMCとして世界各地の拠点をモニターする自社CSIRTの運用で培ってきた知見に基づいて独自のフレームワークを構築し、それを企業ごとに適合させるためのメソドロジーを有している」としている。
スティーブン・マッコンビー氏
国内での参考価格は、「インシデント ディスカバリー」が700万円から、「アドバンスド セキュリティオペレーション アセスメント」が約1300万円からなど。いずれも企業の要件などによって異なるため、あくまで目安となる。
