CSIRT構築の最前線--SOCをどのように活用するのか

　実効性のあるCSIRTを構築する上で必要となる3つのリソースのうち、第1回では、CSIRTに求められる「プロセス（業務）」、第2回では、CSIRTに求められる「人（組織体制と要員）」について解説した。最終回となる本稿では、CSIRTを支えるIT基盤として、特にセキュリティオペレーションセンター（Security Operation Center：SOC）について解説する。

SOCとは何か

　SOCとは何か。SOCとは、端的に言えば、組織で発生するセキュリティアラートを統合的に監視する部隊である。その目的のためにはIT基盤が必要であり、監視のためのセンサや分析エンジンを有する。

SOCの導入パターン

　まずSOCの導入方法だが、自社とアウトソースでまかなう範囲により、いくつかのパターンがある。

　（注） MSS：Managed Security Serviceの略称

　事前の要件定義により、企業のビジネス要件や、保有する情報の質と量などに応じてリスクを検討した上で、導入形態を選択することが重要だ。

SOCの監視ソリューション

　SOCで用いられる代表的な装置装置としては以下が挙げられる。

　ただし、SIEM（セキュリティ情報イベント管理）製品の中にはトラフィック解析機能を有する製品が登場するなど、これらの境目はあいまいになってきている点は付け加えておく。

　SOCを考える際には、これら監視装置のどのサービスやサービスが正解か、残念ながら決定打となるものがないのが現状と考える。不正なイベントを検知するために活用できる元データとしては、大きくはトラフィック（パケット）と各種デバイスが出力するログが存在する。

　この2つはそれぞれ長所と短所がありセキュリティを確保する上で補完関係にあるとも言えるため、企業は両面から分析手法を検討し、監視体制を構築することが望ましい。特に外部からの攻撃に加え、内部不正の監視も視野に入れる必要がある企業にとっては、SIEMのような手段が必要になってくるだろう。

　多様化するサイバー攻撃に対処していくためには、各製品やサービスの長所を組み合わせて、多層的な対策をとることが推奨される。

トラフィックとログの特徴