X-Force

次世代セキュリティー・オペレーション基盤 – IBM X-Force Threat Management (XFTM) サービス

2020-03-26

カテゴリー X-Force

記事をシェアする:

Managed SIEMからX-Force Threat Management (XFTM) へ

サイバーセキュリティーの変遷に合わせ、さまざまなセキュリティー・プロダクトやサービスが登場する中で、Managed Security Servicesは、約20年前から国内外のさまざまなベンダーから提供されています。

古くは、単純にファイアウォールやIDS/IPSからのセキュリティー・アラートを分析・通知し、必要なポリシー管理を実施することが主な役割でした。もちろん今でもその役割は変わっていませんが、複雑化するサイバーセキュリティーに対応するため、対象となるデバイスは多岐にわたり、またCSIRTやインシデント・レスポンス (IR) との密な連携が求められています。

従来の商用SOCでは境界に配置されるセキュリティー・デバイスのモニタリングが多くを占めていた。2010年前後にAPT、標的型攻撃による侵害が多発。以降、エンドポイントやIR等との連携が必須になってきている。

IBMではお客様の環境とさまざまなデバイスに対応するために、これまでManaged SIEM (Security Information and Event Management) を単一サービスとして提供していました。脅威シナリオを定義し、SIEMルールに落とし込むことで、お客様固有の環境に最適化したManaged Security Servicesの提供を目的としていました。

ここ数年、多くの組織でCISRTが設置され、また、よりスピードや社会的責任が求められる中で、オートメーションやオーケストレーションといった総合的なサイバーセキュリティー対策が注目を集めています。

そのような中、IBMではManaged SIEMサービスをベースに拡張・再構成し、脅威マネジメントのライフサイクルをカバーするサービスとして、XFTM (X-Force Threat Management) を提供しています。XFTMは昨今のサイバーセキュリティー・トレンドとお客様からのさまざまなフィードバックを踏まえたサービスとなっています。

XFTMのサービス構成

XFTMは、NISTサイバーセキュリティー・フレームワークに沿う形でデザインされています。

Managed SIEM (QRadar)
お客様毎にSIEM (オンプレミスまたはクラウド) を配置し、お客様環境に応じた脅威シナリオとルールを実装します。もちろん24×7対応で脅威分析を行います。

SOAR (Resilient)
Managed Security Servicesを含む、インシデント・レスポンス全体のプロセスをサポートする機能としてIBM ResilientによるSOARを提供します。メニューに応じ、簡易版とフルセット版（オプション）のふたつを用意しています。

いずれもSOARの要であるPlaybookは、IBMの経験値に基づくベストプラクティスが適用されます。フルセット版では、お客様のインシデントレスポンスプロセスに合わせPlaybookをカスタマイズします。

X-Force Red / IBM Security X-Force・・・・オプション
X-Force Redは所謂Red Team/ペネトレーションを提供します。IBM Security X-Force (Incident Response and Intelligence Services) は、緊急対応サービスまた、その準備として机上訓練などを提供します。Red/IBM Security X-Forceの結果はSIEMルールやSOARのPlaybookにフィードバックされます。Red/IBM Security X-Forceは単独のサービスとしても提供されますが、Managed Security Serviceと合わせて提供することで、サイバーセキュリティー対策またプロセスを最大化することを目的としています。

Managed SIEMの構成（組織の脅威シナリオ重視）

XFTMのMSS/SOCは、ユーザー毎に異なる脅威や環境に最適化したSIEMを配置することで、組織の脅威マネジメント・ライフサイクルをサポートします。

従来また標準的な商用MSS/SOCでは、MSSプロバイダーのSOCに配置されるSIEM（または分析システム）上ですべてのユーザーのログ・アラートを処理するアーキテクチャーが取られており、ユーザー固有のカスタマイズには限界があります。またほとんどの場合、回線トラフィック軽減や分析システムの能力上の観点から、SOCへ転送されるログ・イベントはフィルタリングされるため、網羅的な相関分析が困難となります。

XFTMではユーザー毎にカスタマイズされた脅威シナリオ・ルールを適用したSIEMを配置し、すべてのログ・イベントを相関分析します。脅威シナリオ・ルールは後述するSSAM/X-Force Adviseにより定期的にチューニングされます。

組組織のCSIRT活動では、平時・有事に、以下を含む大小さまざまな改善・強化策が検討されます。

システム更改（製品・ログソース変更）
レギュレーション、法令対応（シナリオ追加）
ユーザーの過失による啓蒙活動（モニタリング強化）
世の中・同業同種でのサイバー侵害発生（モニタリング強化）
脆弱性診断結果（モニタリング強化）

XFTMはそういった組織の課題を柔軟にインプットすることを念頭にデザインされ、中でも平時・有事の両面で重要な対応となるMSS/SOCについては、組織に応じたカスタマイズ前提である上記の仕組みが必須といえます。

持続的な最適化プロセス

特にManaged Security Servicesは、内外の環境変化への追従とチューニングが鍵となります。
XFTMでは先に記した各機能を密に連携させ、世の中の脅威とお客様環境に合わせて持続的な最適化を行うことを最重視しています。その中核となる役割・機能にSSAMとX-Force Adviseがあります。

SSAM (Security Service Account Manager)
お客様担当者をアサインし、XFTMの各機能の利用状況を取りまとめ、月次で報告・提言を行います。
SSAMは、IBM内のXFTM実務者間のコーディネートを日々行い、SIEM/Red/IBM Security X-Forceからのインプットを総合的に分析・判断し、SOARのPlaybookに反映するなど、必要な最適化・チューニングを実施します。

X-Force Advise
日々のSIEMのモニタリング状況やRed/IBM Security X-Forceからのインプットに基づくSIEMシナリオ・ルールの最適化・チューニングに加え、セキュリティートレンドを見据えた対象範囲や追加デバイスの提言等を行います。
X-Force Adviseは、SIEMのエキスパートが四半期毎のタイミングで実施します。

最後に

冒頭で触れた通り、Managed Security Servicesは約20年の歴史があります。時代とともに環境、テクノロジーが大きく変化しました。Managed Security Servicesに限りませんが、テクノロジーを最大限活用しつつ、最後は「人」である場面は多々あります。

XFTMでは、インシデント・レスポンス全体のプロセスをカバーすると同時に、その最大化・最適化の実現に向けたSSAMやX-Force Adviseによる「人」の配置が大きな特徴と考えます。XFTMは、Managed SIEMを現在のサイバーセキュリティーに合わせて再構成する一方で、最も大事な持続性の確保を備えています。

現在IBMでは、Managed Security Servicesの中核として、またインシデント・レスポンスの総合対策としてXFTMを位置付け、国内外に広く展開しており、またXFTM導入にあたってのアセスメントや運用設計等、各種コンサルティングも提供しています。

APT: Advanced Persistent Threat
EDR: Endpoint Detection and Response
IDS/IPS: Incident Detection/Prevention System（不正侵入検知/防御システム）
IR: Incident Response
MDR: Managed Detection and Response
NGAV: Next Generation Anti-Virus
OT: Operational Technology
SIEM: Security Information and Event Management
SOAR: Security Orchestration, Automation and Response
WAF: Web Application Firewall