Cybersecurity Team Roles and Responsibilities

セキュリティオペレーションセンター(SOC)は、組織に投げかけられる無限の潜在的なサイバー脅威を常に少しずつ取り除いているチームです。 サイバーセキュリティチーム内の構造とプロセスを理解することで、はるかに効果的な セキュリティ管理 が可能になりますが、必ずしも厳格な階層に従うわけではありません。

IDC SOCレポート SOC Demo

Cybersecurity Team Roles and Responsibilities

NIST サイバーセキュリティ フレームワークの紹介

NIST Cybersecurity Framework は、サイバーリスクに適切に対処するための一連の堅牢な標準とプロセスを確立します。その柔軟性は、 サイバーセキュリティ チームの構造に明確な公式はありませんが、すべての脅威管理がこの5つの主要な柱をカバーする必要があることを意味します。

  1. 特定: 組織の重要なシステムと、それらが直面するセキュリティリスクを特定することに焦点を当てます。 これには、資産、システム、データ、および全体的なビジネス環境を理解することが含まれます。
  2. 保護: 潜在的なセキュリティ侵害の影響を判断し、これらのリスクを軽減するための戦略を策定し、重要なサービスとデータを保護するためのセキュリティ対策が実施されていることを確認します。
  3. 検出: サイバーセキュリティ インシデントのタイムリーな検出を可能にすることに重点を置いています。 これは、潜在的な侵害や疑わしい活動を継続的に監視するためのシステムとプロセスを用意することを意味します。
  4. 対応: サイバーセキュリティ インシデントへの迅速かつ効果的な対応のための準備を強調し、侵害の広がりと影響を制限します。
  5. 回復: インシデント発生後、組織ができるだけ早く通常の運用に戻れるようにすることに重点を置いています。

サイバーセキュリティチームの構成:主な役割と責任

NIST サイバーセキュリティ フレームワークを実現するために、多くの SOC は、次のように、各従業員の経験と経験分野を最大限に活用するチームに分割されています。

#1:セキュリティアナリスト

サイバーセキュリティアナリストは、セキュリティチームの現場に常駐するメンバーであり、多くの場合、ネットワーク内のセキュリティ脅威の匂いにしっかりと鼻を突っ込んでいます。

しかし、ネットワークデータの量、セキュリティが必要なシステムの範囲、アラートレベルの変動性を考えると、セキュリティアナリストの役割はさらに3つまたは4つの主要なタイプに分類されるのが一般的です。

階層 1: アラート ハンドラー

これは一般的に最も経験の浅い役割ですが、同様にミッションクリティカルな役割です。

Tier 1 セキュリティ アナリストは、セキュリティ ツールのアラートと設定ミスを監視する責任があります。 新しいアラートが届いたとき、彼らは何を優先し、どのようにトリアージするかを選択するため、最初にそれらを処理します。

階層 2: レスポンダー

この層は、層 1 のアナリストによって特定されたインシデントを受け取り、その発生源とより広範な影響についてより深い分析を開始します。 アラートはどの環境にも固有であるため、日々の仕様は大きく変わる可能性があります。 これらの詳細な調査員は、複雑な分析に熟練しており、アラートの相互参照により多くの時間を費やすことができます。

彼らは企業の インシデント対応 能力の大部分を形成しており、Tier 1 のポジションでの経験のおかげで、一般的に企業のネットワークの通常のプロセスに非常に精通しています。

このように、潜在的なインシデントの複雑さを迅速かつ簡潔に理解する能力は、Tier 2アナリストが対応に適した立場にあることを意味し、封じ込め、修復、復旧のためのセキュリティ戦略の構築を支援します。

ティア3:フィールドエキスパートまたは脅威ハンター

ティア2アナリストの幅広いインシデント調査をサポートするのは、ティア3アナリストであり、特定の分野に特化した経験豊富なアナリストです。

次のいずれかになります。

  • インフラストラクチャのスペシャリスト
  • サイバーセキュリティ技術のスペシャリスト、

多くの場合、脅威ハンティングなど、サイバーセキュリティのより積極的な要素を担当しています。 ペネトレーションテストが進行中の場合、第1層と第2層がブルーチームとして機能し、第3層が一般的に偽の攻撃者として機能するため、組織のセキュリティ体制全体がその高度な経験から恩恵を受けることができます。

階層に関係なく、ほとんどのアナリストのシフトは同じように始まります。 

手元にある最初のタスクは、特に24/7 SOCで、前のシフトから収集された情報を評価し、さらに監視が必要な進行中のインシデントやイベントについてのブリーフィングから始めることです。

Tier 4 アナリスト: SOC マネージャー

SOCマネージャーはアナリストに責任があります。彼らは基本的に従来のアナリストキャリアの最後の進化であるため、この役割はTier 4アナリストと呼ばれることもあります。 彼らはSOC運用を指揮し、セキュリティポリシーを通じてアナリストをより広範なDevOpsおよび戦略と同期する責任があります。

このようにして、彼らはサイバーセキュリティ戦略を構築し、実行を支援します。

SOC マネージャーの日常的な責任は、チームをサポートし、すべてがスムーズに実行されるようにすることを中心に展開します。

  • トレーニングセッションの提供
  • 新しいメンバーを募集する
  • チームが必要とする外部サービスやツールの契約

#2:セキュリティエンジニア

セキュリティエンジニアは、必ずしもSOCの不可欠なメンバーではありませんが、組織のリスクを管理する役割を担っているため、特筆に値します。 彼らは通常、ソフトウェアまたはハードウェアの広範なバックグラウンドを持っており、一般的に安全な情報システムの設計を担当しています。

これは多くの場合、片足を SOC に、もう片足を DevOps チームに持っていることを意味します。また、アプリケーションセキュリティプロトコルの文書化にも責任を持ちます。

#3:インシデント対応ディレクター

インシデント対応ディレクターは、インシデント対応プロセス全体を担当し、対応作業のあらゆる側面を調整し、指揮します。

IRディレクターは、対応チーム内のすべての役割に対して全責任を負い、特定の情報ストリームを処理するために複数のアナリストを割り当てるなど、インシデントの要求に対処するために必要に応じて追加の役割を作成および割り当てる権限を与えられています。

このダイナミックなアプローチにより、チームの構造をリアルタイムで適応させることができます。

#4:CISOの

SOCマネージャーの1つ上のステップは、最高情報セキュリティ責任者(CISO)です。 個々のアナリストを管理することに気を取られることなく、彼らは組織を業界全体の脅威から遠ざけるための戦略的な意思決定にほぼ専念することができます。

CEOに報告し、セキュリティの要求と、より広範なビジネス目標および予算とのバランスを取ります。

社内に完全なチームがありませんか? チェック・ポイントがお役に立ちます

無駄のないチームや、完全にアウトソーシングされたチームに頼っていると、セキュリティ体制と完全に同期していると感じるのが難しくなる可能性があります。 クラウドネイティブのセキュリティモデルにより、チェック・ポイントは、アプリケーション・インフラストラクチャのすべてのコンポーネントを完全に一元化したビューを提供します。

すべてのトラフィック、設定、コンポーネントで資産を特定し、マクロセグメンテーションとマイクロセグメンテーション、次世代ファイアウォール、API保護、SSL/TLSインスペクションなどの高度な機能で保護します。 この次世代の可視性は、 チェック・ポイント・インフィニティ・サービス の基礎を形成しており、より高度なハンズオン・プロテクションが必要な場合は、 それを有効に活用する包括的なマネージド・サービスを探索してください。 これには以下が含まれます。

  • フルスタック監視
  • タイトなポリシーチューニング
  • インシデント管理

これらすべては、既存のITおよび情報セキュリティ運用にシームレスに統合されます。 詳細については、 チェック・ポイント・インフィニティの全サービスをご覧ください

×
  フィードバック
このWebサイトは、機能性と分析およびマーケティングの目的でCookieを使用しています。Webサイトを引き続きご利用いただくことで、Cookieの使用に同意したことになります。詳細については、Cookieに関する通知をお読みください。
OK