現代社会において情報の流通量は急増し、それに伴いサイバー脅威や攻撃の手法も複雑化している。企業や組織が重要な情報資産を守るためには、単なるシステム導入だけではなく、高度な運用管理体制が不可欠である。その中枢を担うのが、専門的な監視や分析を一元化して行う組織体である。このような組織体が機能することで、ネットワークやデバイスを含む環境全体の安全性が確保されやすくなる。組織や企業のインフラには多種多様なネットワーク機器や端末が数多く接続されている。
それぞれのデバイスは、社内外を問わず情報取得・交換に利用され、その脆弱性が攻撃の入り口となることがある。例えば、脆弱な設定が施されたデバイスは、不正アクセスや情報漏洩の出発点になる恐れがあるため、常時監視と即時対応が必要となる。不正な通信履歴や不審な挙動を見逃さないよう、多岐にわたるセンサーやログ収集システムを配置し、リアルタイムで広域な状況分析が求められる。この分析力を様々な手法で補完・実現させているのが専門組織である。監視体制の確立には、まずネットワークの全貌を的確に把握することが不可欠となる。
各端末やサーバなどあらゆるデバイスがどのような通信を行い、どんな情報を発信・受信しているか、平常時の通信パターンをデータとして蓄積する。一方で、不審な挙動が観測された際にはその兆候を逃さず、即時に検知して対処する仕組みを取り入れている。ここでは高度な分析技術やパターン認識手法が活用されることが多い。日常的な業務としては、受信ログやセキュリティ機器からの通知を分析し、定常的な業務利用とそうでないもの、すなわち異常を識別する。多くの場合、単一の警告だけで重大な脅威とは判断できないため、さまざまな情報源から集められたデータを相関分析し、全体の文脈を見極めて早期の対応判断を行う。
例えば、一定時間内に複数のデバイスから同時に検出された不審な通信などは、組織全体に対する広範囲な攻撃の兆候と捉えられる。監視を担う担当者には、技術的な知識だけでなく、豊富な経験や冷静な判断力が要求される。セキュリティに関する運用ポリシーを徹底し、物理・論理両面でのリスクアセスメントを適時実施することで、未知の攻撃手法やゼロデイ脅威にも柔軟に対応できる体制を維持している。また、業務継続性を考慮しながら、不測の事態が発生した場合に綿密な報告ルートと対応マニュアルを整備し、迅速な意思決定が下されるよう運用されている。さらに、セキュリティ対策は導入して終わりではなく、状況変化や新たな脅威の登場に応じて、継続的な改善が必須である。
運用管理組織では新しい攻撃予兆情報や脆弱性レポートを日々入手しており、その情報をもとにルール修正や監視内容の再設計を繰り返すことで、効果的な防御環境を構築している。組織のネットワークは、業務用端末、モバイル機器、各種IoT機器など非常に多くの種類のデバイスで構成され、各種アプリケーション同士が相互に通信を行いながら動作している。この複雑な環境下で発生するログやイベントを効率よく集約し、不正なアクセスや攻撃の初動から内部感染、情報漏洩などに至るまで迅速に一貫した防御対応を施すには、専任の監視と運用が極めて重要である。夜間・休日を問わず定期監視が求められる理由は、不審な挙動や異変は無作為な時間に発生しうるからに他ならない。こうした体制を維持するためには、24時間体制で運用が続けられており、重大な場合には即時の処置が可能となるよう人員やシステムが組織化されている。
監視全体を実現するための基点例としては、不正侵入を検知する装置や未知のウイルス検出技術に加え、従業員の操作ログや端末単位のセキュリティレベル判定情報など多様な情報が統合管理されている。これらの情報は相互参照され、組織外部からの攻撃のみならず、内部から生じ得る脅威にもスムーズに対応できる壁を築く役割を持つ。組織的な運用により、万が一の事態が生じた場合にも、迅速な原因特定と対応策の判断が下され、被害の拡大を効果的に防げる。従来、個人や部門ごとのセキュリティ対策では、全体状況の把握や連携した対応に多くの課題があった。しかし専門組織の導入により運用管理が統合・最適化されることで、組織全体として脅威に強い体制が実現されてきた。
セキュリティ管理者はこれまで以上に複合的な知見を必要とし、ネットワークとデバイスの双方を多面的に管理する姿勢が求められる時代となっている。現状の脅威にも将来予測されるリスクにも柔軟に適応しながら、安全な事業活動を支えていく必要がある。