CSIRT構築

概要

現状の課題の整理を行い、実践的なCSIRTを構築するための体制設計やドキュメントを作成し、
平常時、非常時の運用が行えるように支援します。

サービス内容

CSIRTとして、平常時の運用が開始できるまでに、以下の流れでご支援を行います。

横スクロールで全体を見ることが出来ます

CSIRTアウトソーシング

概要

お客様のCSIRTで実施する業務をアウトソーシングするサービスです。

サービス内容

CSIRTアウトソーシングサービスでは、従来のSOCサービスに加え、お客様の状態・状況・環境を理解し、単なる機器監視だけではなく、平常から監視を行うことによりお客様の状況を把握し、インシデント発生時には企業のCSIRTの技術的対応部分を担います。以下はアウトソーシングの一例で、お客様の体制やご予算に合わせて、柔軟に役割分担を変えることができます。

横スクロールで全体を見ることが出来ます

CSIRTアウトソーシングサービスの
活動内容(例)

  • 1.平常時
    • お客様CSIRTからの問合せ対応
    • 定期報告会の実施(当初は1.5h×2回/月程度と想定)
      <主な報告内容>
      ・対象期間内のインシデント発生及び対応状況
      ・課題、タスク等の状況
      ・セキュリティ関連トピックス 等
    • SOC(ネットワークログやエンドポイントログ、セキュリティデバイス等を対象に監視)
    • ベンダ各社に対する連絡、情報提供等の対応依頼
    • お客様より通報のあった不審メールの分析(開封前/開封後)及び分析結果の報告
    • お客様経営層への説明(必要に応じて)
    • 外部関連組織、団体等に対する連絡/連携(必要に応じて)
  • 2.インシデント発生時
    • 情報収集、整理、お客様CSIRTに対する報告及び対応助言
    • ベンダ各社に対する連絡、システム/ネットワークの状態確認、ログ提供等の依頼
    • フォレンジック(検体調査、端末調査等)(必要に応じて)

インシデント発生時の対応フローイメージ(お客様にて検知した場合)

横スクロールで全体を見ることが出来ます

SOC構築

概要

お客様が求められる要件に合わせたSOCの構築を行います。単純なSIEM(Security Information and Event Management)の導入ではなく、CSIRTを効果的に運用するために、これまでに培ったSOC運用のノウハウを活かしたインシデントの検知や分析を行うSOCシステムを提供します。セキュリティデバイスのアラート監視を行うためのSOC環境構築はもちろん、重要インフラ事業者などで求められるネットワークデバイスやシステムのログ等も一元管理、分析が行えるSOCシステムを構築します。SOCシステムは、自社内に資産を保有しない形で、クラウドサービスの形態でご利用いただくこともできます。SOCシステムは自社開発のSOC Engine®をご提供します。

サービス内容

SOC構築支援では、以下の流れで進めます。

横スクロールで全体を見ることが出来ます

SOC構築後のイメージ

クラウドサービスを活用した、セキュリティデバイスを対象としたSOCと、重要インフラ事業者で求められるSOCの構築イメージです。

横スクロールで全体を見ることが出来ます

SOCアウトソーシング

概要

S&Jのセキュリティアナリストが、検出されたアラートの分析や、SOC Engine®を用いて膨大なログの相関分析を行う、セキュリティ運用を支援します。

サービス内容

■セキュリティデバイス監視

S&Jのセキュリティアナリストが、FirewallやIDS/IPS等のセキュリティデバイスで検出されたアラートが誤検知かどうかの精査や、脅威があると判断されたイベントについては、影響度の確認やどういった対処をした方がいいのかのトリアージを行い、お客様にエスカレーションを行います。
<セキュリティデバイス監視で対応するデバイスの例>
・Firewall
・IDS/IPS(不正侵入検知装置)
・Proxy
・Sandbox
・EDR(Endpoint Detection and Response)
・ウイルス対策ソフト管理サーバ
監視対象となるセキュリティデバイスは単体から可能ですが、複数での対応も可能です。

■重要インフラ事業者で求められるセキュリティ監視

CSIRTが機能するためには、検知や分析を行うSOCシステムが欠かせません。一方で、SIEMを中心とするSOCシステムにおいては、大量に検知されたアラートに対応する能力が必要になります。膨大なログから抽出される大量のアラートの対応に追われて疲弊してしまう、という状況にならないためには、無駄な対応を除外して減らすためのホワイトリスト作成が必要となります。

しかし、どのアラートを除外していいのかの判断は高度な知識と経験が必要となります。S&Jでは、 SOC Engine®から抽出されるイベントから必要なアラートに絞り込みます。また、インシデントとして対応しなければならないアラートを特定しお知らせします。

お客様のCSIRTでSOCシステムを運用・監視を行うには、十分なスキルを持ったアナリストを適正人数配置する必要があります。しかし、本来のCSIRTの業務は、インシデントハンドリングと社内調整、経営者とのコミュニケーションです。日常のアラート対応に忙殺されることの無いよう、S&JがSOC Engine®の監視とアラート分析を行い、CSIRTが本来の業務に専念できるように支援します。

インシデント対応が必要な場合、サーバや対象端末のフォレンジックの分析を行います。CSIRTとして対応に必要な項目に絞って速報でご報告する他、必要に応じ詳細なフォレンジックを行います。

SOCアウトソーシングのイメージ

セキュリティデバイス監視と、重要インフラ事業者で求められるセキュリティ監視のイメージです。

横スクロールで全体を見ることが出来ます