PROJECT
STORY
06
柔軟な支援体制
クライアントの信頼
で、まだ見ぬ答えに挑む!
PROJECT
MEMBER
プロジェクトメンバー
クライアント
Yuko.K 様
リスク管理統括部 セキュリティリスク管理チーム長
クライアント
Yusuke.K 様
リスク管理統括部 セキュリティリスク管理チーム
OUTLINE
概要<課題・背景>
■日々進化するサイバー攻撃の脅威に対抗するため、セキュリティリスク管理部門を設置
■ログ分析基盤(SIEM)を利用したSOC運用業務において、膨大なログデータの分析における効率化・高度化が課題
<取り組み内容>
■SIEMとSOARの実装と活用
■SIEMにおいては設計変更などが発生した際、技術的な観点での支援や、ツール上で動いているサーチなど業務における改善や実現方式を提案
■自動化できる業務の選定から実装まで、SOAR活用による運用改善活動
<成果>
■SIEMにおいては問題発生時の原因特定・解消までのプロセスが構築された
■SOARにおいてはアラートの自動化により、担当メンバーのアラート対象業務が約2割程度削減
<今後の取り組み>
■巧妙化するサイバー脅威、日々厳しくなるセキュリティ上の社会的要請に、迅速かつ適切に対応する
■安定した実績に加えSOC運用業務の高度化に向けた推進
-
01
課題・解決
脅威に対してセキュリティ監視運用を、安定化させる必要があった。
──どのような課題があったのでしょうか?
Yuko.K様:サイバー攻撃による外部脅威が高まる中、従来の取り組みを継続するだけでは日々進化する脅威に対抗することが難しくなってきたため、2016年、セキュリティリスク管理部門が設置されることになりました。
また、不審な行為などを迅速に検知するため、当時点在していたセキュリティログの一元管理が必要となり、ログ分析基盤(以下SIEM*1)の導入に至りました。当時はSIEMを利用したSOC運用業務において、膨大なログデータの分析における効率化・高度化が課題でした。
──どうして、パーソルクロステクノロジーに依頼しようとなったのですか?
Yuko.K様:SIEMの実装にあたり選定したツール(Splunk)は、今でこそ多くの企業で導入していますが、当時、日本において導入支援実績のある会社はさほど多くなかったように思います。その中で専門人材を多く確保していた点や柔軟な推進体制などを評価させていただきました。
──何社くらいと比較検討されたのでしょうか?
Yuko.K様:3社になります。パーソルクロステクノロジーさんはコスト面や、スキル面で優れていたことに加え、すでに利用していた企業からも高い評価を受けていたことも決め手となりました。 -
-
02
取り組み内容(1)
顧客からの依頼に基づくセキュリティの調査と、よりスムーズな運用へのサポート。
──パーソルクロステクノロジーとは、課題に対してどのように取り組んだのでしょうか。
Yuko.K様:導入当初の2017年から監視設計、チューニングなど、一部業務を派遣でご支援いただき、2019年より業務委託として、セキュリティ運用・管理・改善に範囲を拡大、さらに2021年には、急激に増加していくログ量を受け、分析処理のパフォーマンスが低下傾向となったことに対する改善と持続可能な運用の実現に向けて支援いただいていました。
最初は、ツールをどう使っていくかが主でしたが、ある程度構築できた後は、ログをどのように有効活用して運用していくかという段階になったため、パーソルクロステクノロジーさんには業務に関する提案をいただくこともあります。
──これらの取り組みをどのように評価していますか?
Yuko.K様:まずは安定した運用維持が第一の目的のため、その部分に関しては期待通りと評価しています。また、次の取り組みとして検討していた、品質向上や効率化に関しても、通常の運用業務と並行して課題の洗い出しから解決方法の提示など、現状に満足することなく積極的に関与いただき、他のメンバーとも協力して実現するといった期待以上の成果を挙げていただいていると感じています。
パーソルクロステクノロジーさんは現場の業務やシステム、ツールをきちんと理解されています。我々も気づいていなかった多くの改善点を積極的に提案していただいています。 -
03
取り組み内容(2)
CSIRT業務をモデルとした業務設計で、セキュリティに関する問題を解決。
──具体的な取り組み内容を教えてください。
Yusuke.K様:現時点での主な取り組み内容はSIEMとSOAR*2となります。
SIEMは、設計変更などが発生した際、技術的な観点での支援や、ツール上で動いているサーチ、いわゆるジョブ的な部分の改善や実現方式を提案いただいています。
SOARについては、ソリューション自体が比較的新しいため、入手できる情報が少なく、課題解決までに時間を要していました。パーソルクロステクノロジーさんよりSOAR活用による運用改善活動にも挑戦していきたいとの要望を受け参画いただき、自動化できる業務の選定から実装まで対応いただいています。その結果、技術およびロジック面においても、プロジェクトメンバーとして欠かせない存在となっています。
──Yusuke.K様が見られても安心できる存在?
Yusuke.K様:そうですね。例えば、こちらから出す要件に対し、ただ単に実現するだけでなく、より効果的な方法の提案や、実装が難しいケースでも、その原因を追究することにより新たな対策に繋げるなど、有益なアウトプットが出てきます。これらのアウトプットは、トライ&エラーを繰り返して、ロジックや、やり方を吸収しているため、精度も高くSOARの導入経験のある外部の方から、「新しい発想を持って正しくSOARを導入している」と、評価いただくこともありました。
もともと、SOCメンバーとして参画いただいているため、当社の環境を熟知していることも大きいと思いますが、アンテナを高く張り自身の業務範囲に留まることなく活動いただいているので、プロジェクトとしても良い形で進んでいる状態です。
*1 SIEM:Security Information and Event Managementの略称
*2 SOAR:Security Orchestration, Automation and Responseの略称 -
04
成果
問題をスピーディに解決するため、運用方法・手順を構築し、仕組みから変えた。
──具体的な成果はいかがでしょうか?
Yusuke.K様:SIEMに関しては、Splunkに対しての新しいサーチ設計や、運用を効率化するための絞り込みなど繰り返し実施することで着実に効果を上げています。これはさまざまな改善ポイントに対して、日々試行錯誤しながら繰り返し実装していくという流れが定着しているからだ思います。
さらに、問題発生時の原因特定・解消までのプロセスが構築されました。例えば、パフォーマンスが落ちている原因や対策をより具体的にレポートいただけたため、速やかに改善に動くことができました。
SOARについても、アラートの自動化により、担当メンバーのアラート対象業務が約2割程度削減可能となる予定です。自動化が進むことにより、アナリストの知見を持つ社員が、本来注力すべき分析作業に集中できるため、結果として品質向上に繋がることを期待しています。
Yuko.K様:当部門は数社に支援いただいているため、他の委託先の方と一緒に対応いただく場面が多々あります。責任範囲を明確にしつつも、目的達成に向けて縦割りではなく、協力の上業務を遂行いただいており、結果として成果に繋がっていると感じています。
Yusuke.K様:単純に知識として持っている技術力だけでなく、探究心や実現しようとする姿勢がとても印象的です。今後も継続していただきたいと考えています。 -
-
05
今後の取り組み
CSIRTは今後、規模を問わず、すべての組織で求められる。
──パーソルクロステクノロジーに対して、どのような期待をされていますか?
Yuko.K様:巧妙化するサイバー脅威、日々厳しくなるセキュリティ上の社会的要請に、当社が迅速かつ適切に対応していくための高い知見・経験やノウハウを適宜提供いただきたいと思っています。また、これまでの安定した実績に加えSOC運用業務の高度化に向けても、他メンバーと協力して推進いただくことを今後も期待しています。
*Splunkは、米国およびその他の国におけるSplunk Inc.の商標または登録商標です。他のすべてのブランド名、製品名、または商標は、それぞれの所有者に帰属します。 -