Security Operations Processes(運用プロセス)
セキュリティ運用プロセスはログ管理・インシデントレスポンス・脅威インテリジェンス・BCP の 4 領域で構成される。NIST SP 800-61 Rev 3(2025-04)は CSF 2.0 と整合し、固定 4 フェーズから 6 機能マッピングへ刷新された。
article technology ja セキュリティ運用プロセスはログ管理・インシデントレスポンス・脅威インテリジェンス・BCP の 4 領域で構成される。NIST SP 800-61 Rev 3(2025-04)は CSF 2.0 と整合し、固定 4 フェーズから 6 機能マッピングへ刷新された。セキュリティ運用プロセス(IR・ログ・CTI・BCP)
セキュリティ運用は SOC による監視だけでなく、ログ管理・インシデントレスポンス(IR)・脅威インテリジェンス(CTI)・事業継続計画(BCP)の連携によって成り立つ。これら 4 領域が体系的に機能することで、インシデントの早期検知から復旧・再発防止までのサイクルが完成する。
セキュリティ運用プロセスの全体像
セキュリティ運用プロセスは「検知→対応→復旧→改善」のサイクルで構成される。各領域の役割を整理すると次のようになる。
| 領域 | 主な機能 | 主要標準・フレームワーク |
|---|---|---|
| ログ管理 | テレメトリ収集・保管・相関 | SIEM 供給、コンプライアンス |
| インシデントレスポンス | 検知・封じ込め・根絶・復旧 | NIST SP 800-61 Rev 3、CSF 2.0 |
| 脅威インテリジェンス(CTI) | 戦略・戦術・運用の 3 層情報活用 | MITRE ATT&CK、STIX/TAXII |
| BCP/DR | RTO/RPO 設計・DR サイト・復旧演習 | ISO 22301 |
これらは独立したサイロではなく、ログが IR を支え、CTI が検知ルールを強化し、BCP が復旧計画を規定するという相互依存関係にある。
ログ管理:収集・保管・相関
ログ管理はセキュリティ運用の根幹であり、すべての検知・調査活動の基盤となる。
収集: ネットワーク機器・エンドポイント・クラウドサービス・アプリケーションから syslog、API、エージェントを通じてイベントを収集する。収集漏れがあると脅威の可視性が損なわれる。
正規化: 異なるベンダーのログフォーマットを共通スキーマ(例: ECS — Elastic Common Schema や CIM — Common Information Model)に変換し、相関ルールが横断的に適用できるようにする。
保管・保持期間: コンプライアンス要件(PCI DSS、SOX、個人情報保護法など)ごとに保持期間が異なる(一般的に 1〜7 年)。ストレージコスト最適化のためにホット/コールド階層化を行うことが多い。
改ざん防止: ログは証拠能力を持つため、書き込み専用ストレージや暗号学的ハッシュによる整合性保証が重要である。攻撃者がログを消去・改ざんするケースがあるため、SIEM への即時転送も有効である。
相関・検索: 収集したログを SIEM の相関エンジンに供給し、単体では不審でない複数イベントの組み合わせから攻撃パターンを識別する。
インシデントレスポンス:NIST SP 800-61 Rev 3 と CSF 2.0
インシデントレスポンス(IR)は検知したセキュリティインシデントに対して組織的・体系的に対処するプロセスである。中心的な役割を担うのが CSIRT(Computer Security Incident Response Team)である。
NIST SP 800-61 Rev 3(2025 年 4 月)の改訂ポイント
NIST SP 800-61 Rev 2 は IR の実践ガイドとして広く参照されてきたが、2025-04-03 に Rev 3 が公開され Rev 2 を置換した。主な変更点は次の通りである。
CSF 2.0 との完全整合: Rev 3 は NIST Cybersecurity Framework 2.0 の 6 機能(Govern / Identify / Protect / Detect / Respond / Recover)に IR 活動をマッピングする形式に再構成された。
固定 4 フェーズの廃止: Rev 2 の「準備 / 検知・分析 / 封じ込め・根絶・復旧 / 事後活動」という固定ライフサイクルを廃止し、IR を広いリスク管理フレームワークの中で柔軟に位置づける方向へ転換した。
リスク管理との統合強化: IR を単独の運用プロセスではなく、組織のリスク管理戦略の一部として捉える観点が強調されている。
情報カットオフ約 2025-08 のため、Rev 3 の追加ガイダンスや実装例の詳細は 2026-05 時点で要確認。
IR の主要フェーズ(実務的整理)
Rev 3 の枠組みを参照しつつ、実務では依然として次の活動フェーズが軸となる。
- トリアージ: アラートの優先度付け、真陽性確認、インシデント宣言の判断。
- 封じ込め(Contain): 被害の拡大を防ぐ。ネットワーク分離、アカウント無効化など。
- 根絶(Eradicate): マルウェア除去、脆弱なシステムのパッチ適用、バックドアの除去。
- 復旧(Recover): クリーンなバックアップからシステムを復元し、業務を再開する。
- 事後教訓(Lessons Learned): インシデントの原因・対応の有効性を振り返り、プロセスと検知ルールを改善する。
脅威インテリジェンス(CTI):3 層モデルと活用
脅威インテリジェンス(Cyber Threat Intelligence, CTI)は攻撃者・手法・意図に関する情報を収集・分析し、防御活動へ活かすプロセスである。
CTI の 3 層
戦略的インテリジェンス: 地政学的リスク、業界標的の攻撃者グループ、長期的なトレンドに関する経営層向け情報。意思決定とセキュリティ投資の優先順位付けに使用される。
戦術的インテリジェンス: 特定の攻撃者グループの TTP(Tactics, Techniques, and Procedures)に関する情報。MITRE ATT&CK のマトリックスが共通語として広く使われる。
運用的(技術的)インテリジェンス: 具体的な IoC(Indicators of Compromise)— IP アドレス・ドメイン・ファイルハッシュ・URL など。SIEM の検知ルールに直接反映される。
主要フレームワーク・標準
MITRE ATT&CK は攻撃者の戦術(何を達成しようとしているか)と技術(どのように達成するか)を体系化したナレッジベースである。検知ルール設計・脅威ハンティング・レッドチーム演習の共通言語として業界標準となっている。
STIX(Structured Threat Information eXpression) は脅威情報を構造化するフォーマットであり、TAXII(Trusted Automated eXchange of Intelligence Information) はその情報を交換するプロトコルである。STIX/TAXII により、異なる組織間で脅威情報を機械可読な形式で共有できる。
CTI 活用の課題
CTI フィードの過多と文脈欠如が実務上の大きな課題である。大量の IoC を購読しても、優先度付けや組織コンテキストへのマッピングなしでは運用負荷が増加するだけである。有効活用には、フィードの品質評価・トリアージ・SIEM/SOAR への統合が必要である。
BCP/DR 計画:RTO・RPO とランサムウェア時代の復旧
事業継続計画(BCP)と災害復旧(DR)はインシデント後の業務継続を保証するための枠組みである。
ISO 22301 と BCMS
ISO 22301 は事業継続マネジメントシステム(BCMS)の国際規格であり、計画・実施・テスト・改善のサイクルで事業継続能力を維持する要件を定める。BCMS の構築により、組織は中断リスクを体系的に評価し、対応計画を文書化できる。
RTO と RPO
RTO(Recovery Time Objective): 目標復旧時間。インシデント発生から業務を再開するまでの許容最大時間。
RPO(Recovery Point Objective): 目標復旧時点。どの時点のデータまでを許容損失とするか。バックアップ頻度の設計に直結する。
RTO/RPO はシステムの重要度に応じて設定し、DR 設計(ホット/ウォーム/コールドサイト)に反映させる。
| DR サイト種別 | 切り替え時間 | コスト | 典型的な用途 |
|---|---|---|---|
| ホットサイト | 分〜時間 | 高 | 基幹業務・決済システム |
| ウォームサイト | 時間〜日 | 中 | 重要業務システム |
| コールドサイト | 日〜週 | 低 | 優先度の低いシステム |
ランサムウェア時代の復旧実効性
ランサムウェア攻撃では、攻撃者がバックアップを暗号化または削除するケースが増加している。復旧の実効性を担保するには次が必要である。
- イミュータブルバックアップ: 書き込み後に変更・削除できないストレージ(WORM)への定期バックアップ。
- オフライン/エアギャップバックアップ: ネットワーク接続を持たない物理メディアへのコピー。
- 復旧演習(DR テスト): バックアップから実際に復元できるかを定期的に確認する。計画だけで未実施は最大のリスクである。
tech-135(バックアップと復旧)との連携が BCP の実効性を高める。
アンチパターン
| アンチパターン | 症状 | 対策 |
|---|---|---|
| ログ保持期間が未定義 | インシデント調査時に必要なログが存在しない | コンプライアンス要件と調査ニーズに基づき保持期間と階層を定義する |
| IR 計画を作成したが訓練しない | 実際のインシデント時に手順が機能しない | 四半期ごとにテーブルトップ演習またはシミュレーション訓練を実施する |
| CTI フィードを購読するだけで運用に未活用 | IoC が SIEM に反映されず、既知の攻撃を見逃す | CTI → SIEM/SOAR への自動連携パイプラインを構築する |
| BCP の RTO/RPO が未設定 | 復旧の優先順位が不明で対応が混乱する | システム重要度評価を経て RTO/RPO を明文化し、DR 設計に反映する |
| 事後教訓(Lessons Learned)を回さない | 同じ手口のインシデントが繰り返される | IR クローズ後に必ず振り返りセッションを実施し、検知ルールとプレイブックを更新する |