トップ > セキュリティオペレーション > システム担当とセキュリティ担当をつなぐSysSecOps

システム担当とセキュリティ担当をつなぐSysSecOps

セキュリティオペレーション

最近耳にした「SysSecOps」という言葉に興味を持ったので調べてみました。

はじめに言ってしまいますが、何のことはない、米国のセキュリティ新興企業Ziften社が生み出したマーケティング用語のようです。

ただ、主張としては理解できるので、まとめておこうかなと。

以降は、主にSecurity and IT Operations: Tear down those walls! | ITProPortalの記事を受けて、考えをまとめています。

SysSecOps: Systems & Security Operations

意味としては「システム運用とセキュリティ運用をもっと一体的に」ということのようですね。

参考記事にも書いてある通り、システム運用とセキュリティ運用は異なるチームが担当していることも多いと思います。ともすると、システム担当はセキュリティ担当を「口うるさい奴ら」、セキュリティ担当はシステム担当のことを「頭のかたい奴ら」なんて思ってしまうくらい距離があったり?なかったり?…私は両方の立場を経験したことがあるので…まぁ立場変わればなんとやらです 笑。

両担当の関係がどうであれ、ひとたびインシデントが発生すれば総力戦で挑むしかなくなるのですが、普段の接点が少ないとバタバタしてスマートに対応できないので、日頃からもっと近い距離感でいることが大事で、ここのところのセキュリティトレンドを見ると、そのきっかけはエンドポイントセキュリティなんじゃないの?というのが彼らの主張です。

色々なセキュリティソリューションが出てきているとはいえ、現状を見ればまだまだネットワークでの境界防御(簡単にいえば、インターネットの出入口をちゃんと守りましょう的な)が主軸になっているわけで、最近日本でも被害が出た"Wannacry"や、東欧で大きな被害が出た"NotPetya"なんかに内部拡散については、限界をみんな感じているはずです。あるいは感染時にサーバとの通信がなく(or 極端に少なく)破壊目的っぽいものもあったり、通信するにしてもTwitterやDropBoxのような正規のサイトを利用するようなものは"境界"だけ見ていてもなかなかに辛いよなと。ここまでくると、エンドポイントでのセキュリティの高度化を考えざるを得ず、EDR(Endpoint Detection and Response)の導入が流行りそうな気配があるわけです。

企業におけるアンチウイルスソフト導入に関わったことがある人なら直感的に理解できると思いますが、エンドポイントのセキュリティは、ソフトウェアの相性の確認、不具合の対応、パターンファイルの適用、ウイルス検知時の対応など、システム担当とセキュリティ担当が一緒になって考え、動いていかなければならない部分が多いです。EDR製品はより複雑な機能を持ち、難易度の高い検知を行うものですので、その時よりもさらに強い連携が必要になります。

ということで、「SysSecOps」という彼らの主張は、時流をしっかりと捉えた現実的なものかなと思えるわけです。言葉が流行るかどうかはさておき…

SysSecOpsに必要なこと

これは結局EDRの導入に関して求められることと同一なので、かなり汎用性がある気がします。 ということで、元記事を引用させていただきます。

  • IT and security professionals are asking for better integration of tools, which requires coordination of organizational budgets and planning
  • To achieve SysSecOps integration, systems management and security budgets need to be coordinated across organizational boundaries to plan for the required technology components.
  • The emphasis on technology should be toward building coordinated data- collection and analytics engines.
  • SysSecOps for endpoints is built on a foundation of endpoint visibility, control and integration within a broader security ecosystem.
  • Finally, an integrated SysSecOps strategy needs to be developed and coordinated within the organization – across divisional boundaries including systems management, and security – and driven from the highest levels of the organization.

以下は拙訳というか意訳です。

  • システム担当とセキュリティ担当がより一体的に利用できる仕組みを選びましょう
  • 導入計画においては、システム担当とセキュリティ担当の組織の垣根を超えた予算取りが必要となります
  • 技術面では、データ収集(システム担当の領域)と分析エンジン(セキュリティ担当の領域)の連携の構築に重点を置きましょう
  • エンドポイントのSysSecOpsは、セキュリティ対応全体の循環において、端末の可視化、制御など統一的な扱いができるようにすることを基本としましょう
  • SysSecOpsを完成させるためには、システム担当とセキュリティ担当の境界を超えてやらないといけず、組織の上の方から動かしていく必要もあります

なかなか頑張らないといけないですね。この手の話に巻き込まれそうな気がしている方は、前もって覚悟を決めておきましょう 笑。