EMCジャパンは11月4日、高度な標的型サイバー攻撃に対抗するCSIRTの構築・運用支援サービス「RSA Advanced Cyber Defense(ACD)」を開始した。RSA独自のフレームワークを用いて、アセスメントからコンサルティング、構築支援、運用支援、技術トレーニングまでを総合的に提供する。
CSIRT(Computer Security Incident and Response Team)は、インシデントの原因解析、影響範囲の調査、修復などを行う組織の総称。セキュリティ脅威に早期に対抗するため、その必要性が理解されてきた一方、企業規模、配置できる人員とCSIRTスタッフとしてのスキル、事業リスクの所在・種類などが企業ごとに異なるため、手本となる事例がほとんどなく、立ち上げには戸惑いが伴うという。
「体制の確立が急がれる今、必要なのはCSIRTスタッフとして機能する人材を育成し、構築、維持していくことだ」と同社。
ACDでは、CSIRT構築・運用に向けて、現状把握などのアセスメント、計画立案などのコンサルティング、構築運用のセキュリティオペレーションなどを総合的に提供する。これらはインシデント対応に関する3R「Readiness:準備力の向上」「Response:対応力の向上」「Resilience:回復力の維持」を備えたCSIRTの構築・運用を目指す、RSA独自のフレームワークに基づいている。そのフレームワークを企業ごとに異なる脅威の現状にいかに当てはめるか。そこがACDの肝となる。
ACDでは、アセスメント、コンサルティング、構築支援として6種類のサービスを用意する。
アセスメント、コンサルティング、構築支援として6種類のサービスを用意
まずは「インシデント ディスカバリー」。顧客サイトに一定期間「RSA Security Analytics」を設置し、ネットワークパケットを分析。分析結果から不審な通信などのセキュリティリスクを説明し、対策を提案する。
次に「アドバンスド セキュリティオペレーション アセスメント」として、現状のセキュリティオペレーション、体制、インシデント対応力などについて評価し、あるべき姿とギャップを分析する。評価には「COBITモデル」を採用し、複数の指標について「現状」「目標」「同業他社の平均」などが表示される。そこから優先的に対処すべき実施項目や、中長期的なロードマップを提示する。
ここで明らかになった事実に対して、人、プロセス、システムを設計するのが「アドバンストSOC構築支援コンサルティングサービス」。実際に企業の実情にあったシステムやSOC運用フレームワークを構築する。
併せてインシデント発生から再発防止の検討まで、一連のインシデント管理業務をシステム化する「インシデント管理の構築支援サービス」を提供する。インシデント管理に特化したツール「RSA Security Operation Management」を活用し、トレーニングも含めて提供する。
さらに運用支援として、SOC要員のセキュリティ運用スキルを向上させる「セキュリティ アナリスト トレーニング」や、インシデント発生時に問い合わせ対応を行う「セキュリティ インシデント ホットライン」も提供する。
軸となるのは、EMCがグローバルに約50名用意するSOCコンサルタントだ。Advanced Cyber Defense Practicedのシニアマネージャーとしてアジア太平洋・日本地域を担当するスティーブン・マッコンビー氏は「彼等はいずれも実際にSOCを構築・運用してきたものたち。グローバル企業のEMCとして世界各地の拠点をモニターする自社CSIRTの運用で培ってきた知見に基づいて独自のフレームワークを構築し、それを企業ごとに適合させるためのメソドロジーを有している」としている。
スティーブン・マッコンビー氏
国内での参考価格は、「インシデント ディスカバリー」が700万円から、「アドバンスド セキュリティオペレーション アセスメント」が約1300万円からなど。いずれも企業の要件などによって異なるため、あくまで目安となる。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
