みなさんはSOC(ソック)をご存知でしょうか?
本来、セキュリティ対策ツールは「導入する」だけでなく、「運用すること」で効果が発揮されますが、つい導入が完了したことに安心して、適切な運用が出来ているのか?についてはあまり振り返っていない…という企業もあるのではないでしょうか。また日本の多くの企業へサイバーセキュリティの対策の甘さに警鐘が鳴らされる世の中で、比例して注目されているのが「セキュリティ人材」であり、運用の肝となるのがセキュリティ人材で構成されるSOCです。
今回はセキュリティスペシャリスト集団であるSOCについてご紹介します。

※セキュリティ人材とは…サイバー攻撃やウイルス・不正アクセスに関する対策、制御システムの情報セキュリティ対策・管理などを専門業務とする情報セキュリティに関する知識・技術がある人材のこと。

SOCとは何か?その仕組みについて

SOCとは、Security Operation Center(セキュリティオペレーションセンター)の略で、24時間365日ネットワークの監視・分析を行う組織のことを指します。セキュリティのスペシャリストが常駐し、リアルタイムで攻撃の検知・分析・報告を行うことで、あらゆるサイバー攻撃から社内ネットワークを守るための手助けをしてくれます。

SOCはネットワークやソフトウェアを管理する情報システム部とは別の組織として社内に構成されるのが理想ですが、ベンダーが提供するSOCサービスを利用する事でSOCとしての機能を補完する事もできます。監視範囲はベンダーによって異なりますが、PC、サーバ、UTMからクラウド環境まで及びますので、社内で必要なセキュリティを全て任せることができます。

SOCでは、異常をリアルタイムで検知・ログ分析を行うことで、いち早くどこで何が起こっているのかを報告してくれます。たとえ、不正アクセスから侵入を許したとしても、迅速に検知し、対応すれば情報を奪われる可能性を十分に小さくすることができます。
また、ネットワークやサイバー攻撃の状況のレポーティングや企業のセキュリティ対策に対する提案まで実施することもあります。

SOCとCSIRTの違い

CSIRT(シーサート:Computer Security Incident Response Team)もSOCと同様にセキュリティインシデントの予防と事後対応が仕事になるので、役割としては多く共通項がありますが、CSIRTは、人的脅威、または自然災害等の物理的脅威にまで対応し、インシデント発生時の「対応」では、事業・取引先・ブランドを守ることに重点を置く組織のことです。
平時においては社外のCSIRTと連携し情報収集をしたり、セキュリティ対策ツールの導入や、インシデント発生時の対応手順の策定、社員へのセキュリティリテラシーの教育などの業務を行います。またいざインシデントが発生した時には、インシデントの把握・原因分析・経営層や社外関係者への報告・問題解決や再発防止策の策定といった役割を担っています。
サイバー攻撃や会社関係者の業務上過失等、100%未然に防ぐことは難しいセキュリティインシデントの損害を最小化することを目的としている点はSOCと同じです。SOCがネットワークやシステムに焦点を当て、それらから集積したログを解析したり、リアルタイムで起きている世界各国のセキュリティ脅威(技術的脅威)と照合しながら「監視・検知」を行い、有事の際にもネットワークやシステムを守る事に重点を置くのが役割ですので、守る対象や方法に違いがあるのが分かります。
企業を脅かす3大脅威についてや情報セキュリティの基礎に関してはこちら

SOCの必要性とは?

SOCが必要とされる背景には大きく2つのポイントがあります。

増加の一途をたどるサイバー攻撃は巧妙化して気づけない

サイバー攻撃が増加の一途をたどる中、それに対抗すべく様々なセキュリティ機器やサービスが登場しています。 
みなさんも既にファイアウォールやアンチウイルスソフトなどのセキュリティ対策製品を導入しているかと思いますが、導入したまま放置状態になっていないでしょうか?

セキュリティベンダー等の調査で以下のような数字が発表されています。

■攻撃に気が付いた発端が、法執行機関やセキュリティベンダーなどの外部からの連絡だった

■攻撃者が初めてネットワークに侵入してから攻撃されていることが発覚するまでの平均日数

■機密情報を盗み出されたと確認できた割合

この数字から読み取れるように、我々はセキュリティ対策製品を導入しているからと言って油断できない状況に置かれています。
サイバー攻撃は既存のセキュリティを掻い潜る為に日々巧妙に進化しています。防衛を講じる我々側も日々進化する必要があるのです。過去にどんなに優れたセキュリティ機器やサービスを導入したとしても、きちんと運用が出来ていなければ、最大限の効果を発揮することはありません。更に、世界中どこから新たな攻撃が仕掛けられるか分からない為、システムやネットワークに対して24時間365日監視する必要も出てきました。24時間365日絶え間なく監視することで、迅速なサイバー攻撃対策を叶え、甚大な被害を抑制することができます。

働き方の多様化によるセキュリティ対策の複雑化

働き方の多様化が進み、働く場所やスタイルに大きな変化が表れました。
テレワークの普及により、社内ネットワークに接続するデバイスは会社支給のデスクトップからノートパソコン、自宅のPCやスマホ、タブレット端末まで増え、接続元も社内からだけではなく、様々な場所からアクセスされるようになりました。IPA(情報処理推進機構)「情報セキュリティ10大脅威 2021」ではテレワーク等のニューノーマルな働き方を狙った攻撃が初登場で第3位に入るなど、新しい脅威も出現しています。
クラウドサービスの利用も増え、社内ネットワークだけを監視していればよかった時代ではなくなっているのです。
このようにセキュリティ対策をしなければならないポイントが増えたことにより、セキュリティ対策が複雑化したことも、SOCが必要になった要因の一つといえるでしょう。

SOCが対応する業務とは?

社内でSOCを立ち上げた場合、SOCはログ監視を主軸に様々な業務を担います。

セキュリティ診断

リスクマネジメントやサイバー攻撃への対策案をチェックし、不足箇所の指摘や適切な対応案の提言などを行います。

アラート監視

インシデント発生時のアラートを調査し、CSIRTに報告・連携します。

ヘルプデスク対応

ユーザーからの問い合わせ対応を行い、セキュリティ運用の円滑化を補助します。

ログ解析・監視

対象となるエンドポイントに対して、ログを解析、監視します。

解析・監視の対象例

ネットワーク機器 UTM、IDS/IPS、スイッチ、etc.
サーバ メールサーバ、Active Directory等の認証サーバ、プロキシサーバ etc.
デバイス PC、スマホ、タブレット etc.
スクロールできます

インシデントの管理・定期報告

発生したインシデントの対応ステータスを管理します。
また定期報告にてインシデントの対応状況等の共有をCSIRTに行います。

SOCを導入するポイントについて

SOCを導入する場合、「自社で組織化する」か「アウトソーシングする」の2つが考えられます。ポイントを押さえて社内SOCなのかアウトソーシングなのかを考えてみましょう。

監視体制は十分であるか

SOCとは、24時間365日の監視を行うことで、セキュリティインシデントの迅速な検知が叶うものです。
そのため、自社で組織化する場合は、24時間365日監視できる体制が組めるかどうかというところが大きなポイントになります。
またインシデント検知時にも昼夜関係なく迅速に報告がないと対応も遅れるため、その報告体制や手段などが適切に行えるかどうかも確認しましょう。一部をMDR(Managed Detection and Response)で対応させることで社内SOCの負担を軽減するという手段もあります。MDRはサービス内容がベンダーによって異なり、監視対象機器が限定されたものや検知とアラートまでしか行わないものもあります。逆にサービスの対応範囲が広いMDRの場合は、外注SOCと同等のサービス内容となるかもしれません。
※MDRについて詳しく解説した記事はこちら

セキュリティ人材が確保できるか

SOCには情報セキュリティ専門の人材が必要です。セキュリティに関する専門的なスキル・知識がある人材がいることで、SOCを運営することが可能になります。
多くのSOCアウトソーシングサービスでは認定セキュリティエンジニア(CEH、CNDなど)と呼ばれる高度認定資格保有者がいますが、社内にこれと同等の人材を配置するのはなかなか容易ではありません。

監視・管理対象がどこなのか

SOCで監視・管理したい対象を確認しましょう。
監視・管理対象を把握することで、自社人員での運用が可能なのか、部分的(もしくはすべて)をアウトソーシングする必要があるのかを判断することができます。複数台の機器から集めたログを時系列などで相関分析するのは専門的知識があってもリソースが足りなくなります。SIEM(Security Information and Event Management)などのサービスを併用すると社内SOCの強力な味方になります。

SOCを導入するなら自社構築、それともアウトソーシング。どっちがおすすめ?

SOCを「自社で組織化する」か「アウトソーシングする」かのどちらにするかは自社の状況に応じて検討頂ければと思いますが、経産省が2016年に「2020年にはセキュリティ人材が約20万人不足する」と予想した通り、国内では情報セキュリティに特化した知識を保有する人材が枯渇しています。
仮に人材を確保できても人件費が高いため、その人材を集めて24時間365日稼働させるだけの組織にすることは、相当な人的コストがかかります。
そういった意味では、中小企業やベンチャー企業など、これからSOCを検討しようと考えている企業にはアウトソーシングがおすすめでしょう。

まとめ

日増しに巧妙化していくサイバー攻撃に対して自社を守り抜くには、お金も労力も沢山使います。そしてセキュリティ対策は単一のサービスで賄うものではなく、多層防御が基本となり、担当者のやるべきこともますます煩雑化していく一方です。既存の担当者の負担を増やすことで人的ミスのトリガーに繋がってしまうかもしれません。
しかし新しく情報セキュリティに特化した人材を雇用しようにも、人不足が蔓延化しており、なかなか増員することも叶わないのが現実です。

SOCアウトソーシングサービスでは、24時間365日セキュリティの運用管理をしてくれます。リアルタイムで異常を検知・分析するため、サイバー攻撃や障害に迅速に対応できるようになるでしょう。セキュリティのことをベンダ―に任せて、既存の担当者が安心して本来の業務に専念出来る環境にしてみるのはいかがでしょうか。

この記事に関連するお役立ち資料はこちら

新しいエンドポイントセキュリティ(EDR)

攻撃の巧妙化により重要性を増すエンドポイント対策。ウイルス対策ソフト(EPP)にてウイルスの侵入を防ぐだけでは不十分です。大切なのは万が一エンドポイントが感染してしまった場合を想定した対策です。
侵入されることを前提として、端末内に侵入したマルウェアを検知し、エンドポイント端末の隔離やシステム停止などを行い、社内システムへの影響を防ぐことを目的としたEDRについて解説します。

ダウンロードする

さらに理解を深めたい方にオススメの記事はこちら

関連サービス