「第6回tktkセキュリティ勉強会~ISOG-Jと考える、セキュリティ対応組織(SOC,CSIRT)~に参加した

第6回tktkセキュリティ勉強会?ISOG-Jと考える、セキュリティ対応組織(SOC,CSIRT)?に参加したので、雑ですがメモをまとめました。

今日の目的

  • ISOG-J内の成果物と議論の紹介
  • マネージドセキュリティサービスやSOC、監視業務の内容がどんなものかを理解する
  • ここ数年のInternetWeekでの発表資料の振り返り
  • 最近の傾向。どう考えるか理解する。

前編:『紹介と、運用監視の始まりから』

  • ISOG-Jの紹介、活動紹介

  • セキュリティ オペレーション

    • セキュリティの運用
    • セキュリティの対応
  • ドキュメントのリリース

  • 【WG1】セキュリティオペレーションガイドラインWG
  • 【WG6】セキュリティオペレーション連携WG

  • マネージドセキュリティサービスとは?

    • マネージドセキュリティサービス選定ガイドラインをベースに考えてみる。
  • マネージドセキュリティサービス選定ガイドライン

    • 2010年に公開
    • WG1の成果物
    • 1.1.3. 対象読者:MSSの運用者、SOCなど
    • SOCを自分たちで作ろうと思っている人(プライベートSOC?)には適している内容
    • 1.2.MSSとは
    • 1.2.1.MSSで提供されるもの
    • 当時のサービスはFW、IDS/IPSぐらいが監視対象
    • ユーザー側は情報セキュリティ担当者しかいない→やることが増えて、今はCSIRTなど
    • セキュリティエンジニアはログの分析など
    • 1.2.2.MSSで達成できること
    • 達成出来ること→ユーザー企業が選ぶときのポイント
    • 1.2.3.内容・機能
    • 当時のSOCの役割→プライベートSOC立上げに役立つ
    • 1.2.4.呼称
    • 用語の定義などはバラバラ
    • 1.2.5.業態
    • サービス提供の主体は色々
    • 2.1.導入企画
    • 導入企画時の検討は当時も今も、考えるポイントは変わっていない
    • ISO, ITILなど
    • 何を守るか?を細かく記載している
    • 2.1.2.2.現状ネットワークの把握
    • この時から大事だった。今はもっと複雑になった(サイズの拡大、子会社との接続など)
    • 2.1.2.3. 対象の決定
    • 保護対象、保護する内容、品質などを定義
    • セキュリティサービスプロバイダーは何するか?
    • ユーザーとの連携など、当時よりもやることは増えている
    • 2.3.インシデント対応フロー
    • 2.4.異常時運用
    • 緊密に連携→何したら良いのか?(やることが複雑になり、面倒なこともある)
    • FW、IPSを導入すればセキュリティ対策万全か?→運用で困っている
    • 事業者側のサービスの内容と品質を規定する基準整備が必要だった

WG6前夜

  • いまどきSOCプロジェクト(2014年4月?2015年3月)
  • あさまでSOCプロジェクト(2015年4月?2016年3月)
  • 成果物は非公開

やられたかな?その前にガイド

おやつ

黒彪さん(@blackle0pard)がシェアした投稿 -

続きは後日書きます。

Ref.