SOCとは?いま求められている背景や仕組みを解説

  • セキュリティ

SOCとは?いま求められている背景や仕組みを解説

お役立ち資料

目次

SOC(Security Operation Center)とは

SOC(Security Operation Center)は、社内環境などにおいてネットワークやIT機器など各種デバイスを24時間365日で監視し、サイバー攻撃の検出や分析、対応策の助言などを行う部門や専門組織を指します。

巧妙化するインシデントの兆候を見抜くためには、高いセキュリティスキルが求められることや、24時間365日の監視体制を必要とされることなどから、SOCをアウトソーシングサービスとして展開する事業者も増えており、そういったサービスを利用する企業も年々増加しています。

一方で、大企業において自社内でSOCを組織する企業も存在しますが、このようなSOCは「プライベートSOC」といいます。

SOCの必要性

スマホを見る女性

極端な話、インターネットへ接続するすべてのシステムにSOCは必要です。特に企業や組織によるIT利用の多様化が進み、近年のリモートワークの増加も相まって、社内のパソコンからだけでなく、自宅からインターネットを介して社内システムへアクセスするケースや、スマートフォン、タブレットなどさまざまな端末からアクセスする場合もあります。
また、社内のオンプレミスな環境だけでなく、クラウド環境の利用も増えてきており、多様化した環境・端末を狙ったサイバー攻撃のリスクも高まってきています。こうしたサイバー攻撃やセキュリティ脅威の高度化・複雑化に伴い、ネットワークやデバイスのログを収集し、インシデントの兆候を発見したり、分析したりする業務を従来のネットワーク管理者やシステム管理者が行うには難易度が高く、セキュリティ技術に特化した人材が求められています。

また、セキュリティ監視においてはSIEM(Security Information and Event Management)といった機器やシステム上のログを集約し、相関的に分析することで、不正アクセスや攻撃の兆候を検知するシステムがありますが、SIEMでは一般的に過検知も多く、検知情報の分析や、ポリシー管理など適切に運用するにはセキュリティ知識に長けたアナリストの存在が不可欠です。
しかし、こうした人材を自社内で確保し、24時間365日で対応をするには人材のリソース確保やコスト面においても困難な場合が多いのが実状です。そのため、近年では、あらかじめそのような人材やSIEMの運用を行うSOCをアウトソースする企業が増えています。

SOCとCSIRTとの違い

SOC同様にセキュリティに関する組織としてCSIRT(Computer Security Incident Response Team)があります。SOCは脅威となるインシデントの検知そのものを重視しているのに対し、CSIRTはインシデント発生時にインシデントレスポンスを主体的に担う専門チームになります。インシデントマネジメントを全般的に担当し、インシデントレスポンスだけでなく、事前の情報収集やインシデントハンドリングマニュアルの作成などを担います。
ただし、インシデントが発生した際にそれを迅速に認識し、対応するための仕組みが重要であることはSOC、CSIRT共に共通していえることです。自組織のみでそうした仕組みをつくることが困難な場合は、外部のサービスを頼るという手段もあります。
例えば、CSIRTと協調してインシデントレスポンスを補助するMDR(Managed Detection and Response)といったサービスがあります。インシデントレスポンスではEDRのような「脅威検知のための技術」の活用や、脅威を検知した際の侵入経路の特定や情報流出経路の遮断など、高度なスキルを駆使した素早い対応が求められますが、こうした作業をマネージドサービスとして代行してくれるのが、MDRです。

SOCで検知されるサイバー攻撃例

セキュリティアラート

SOC監視では各種デバイスのログをチェックします。対象の例としては、ファイアウォールやIDS/IPS、WAF(Web Application Firewall)といったネットワークセキュリティ機器、エンドポイントの挙動を監視するEDR製品のログなどが該当します。これらのログをリアルタイムに監視・分析することで、以下のような攻撃を検知することが可能です。

サーバーへの攻撃

ファイアウォールやWAFのログにより、Webサーバーなどに対するDoS攻撃やSQLインジェクションなどのサイバー攻撃を検知できます。

クライアントPCのマルウェア感染

EDR製品のログやネットワーク機器でのアウトバウンド通信のログを監視することで、マルウェアによるPC上の不審な挙動や、外部のC2サーバーなどに対する不審な通信を検知することができます。

不審なログイン試行

ADなどのログから大量にログインを試みて認証に失敗するログや、普段と異なる場所や国からのアクセスログなどから、攻撃者による不審なログイン試行を検知することができます。

SOCがわかるお役立ち資料をダウンロード

企業の安全をサイバー攻撃から守るには、日々発せられるセキュリティ関連のアラートを監視しながら新しい脅威をいち早く検知し適切に対処していく、継続的なオペレーションが欠かせません。しかしながら、専門的な知見を備えて常に対処できる体制を社内に構築するには、膨大な費用と時間が必要です。本資料では、そうした企業の救世主となる“SOC as a Service”についてご紹介します。

企業の安全をサイバー攻撃から守るには、日々発せられるセキュリティ関連のアラートを監視しながら新しい脅威をいち早く検知し適切に対処していく、継続的なオペレーションが欠かせません。しかしながら、専門的な知見を備えて常に対処できる体制を社内に構築するには、膨大な費用と時間が必要です。本資料では、そうした企業の救世主となる“SOC as a Service”についてご紹介します。

ダウンロード

SOC導入における3つのサービス選定ポイント

PCを見る男性

SOCサービスの提供事業者を選定する際のポイントとして以下の3つがあります。

1.品質

監視や分析がアナリストに属人化されていると、同じ事象に対しても、アナリストによってSOCからのアラート通知の内容が異なるなど、品質が安定しない場合があります。外部基準に沿った品質の裏付けなど、属人性を排除した安定した監視・分析ができるサービスを選定することが有効です。

2.コスト

SOCを導入しようとしても、コストが適用可能な予算内に収まらなければ意味がありません。しかし、24時間365日での対応など、希少なセキュリティ人材を稼働させるため、コストが高くなりがちです。一定の品質を保ちつつも、適用可能なコストで運用できるサービスを検討してください。

3.柔軟性

監視したいシステムがSOC側で対応しているかどうかも、選定に必要な要素となります。特に一部のSOCサービスでは、ベンダーが提供しているファイアウォールなどのセキュリティ製品とセットになっていることも多く、それ以外の製品やシステムに対応していないことがあります。また、クラウド基盤上のマネージドサービスの監視については、対応していないことも多いのが現状です。

そうしたなかで、監視に対応できる製品やサービスの豊富さ、クラウド基盤への対応可否、また、監視に際してユーザー側で複雑な設定や構成の変更が必要になる場合もあるので、そのようなユーザー側の必要作業の程度なども考慮して、SOCを選定するのがよいでしょう。

関連サービスについて

まとめ

セキュリティ監視はSIEMなどのセキュリティ機器を導入すれば終わりではありません。セキュリティリスクやサイバー攻撃の手法は日々変化しており、それに応じた情報収集や監視機器、機能の追加、人員強化などを継続的に行うことが必要となります。前述の通り、こうした業務に対応できるセキュリティ人材を24時間365日で確保するのは困難であり、膨大な投資も必要となります。

そのため、監視のためのセキュリティ人材がアウトソースでき、かつ仕組化・標準化により低コスト・高品質な監視を幅広いIT機器に柔軟に提供できる「SOC as a Service」の導入は、自社のセキュリティ監視に悩む多くの企業にとって有効な解決策になり得るといえるでしょう。

関連コラム

Top
緊急アイコン

緊急対応が必要な方

お客様からクレームが発生している、不具合が頻発しているなど、緊急で対策が必要な方はすぐにご連絡ください。

TEL 0120-142-117

受付時間 平日9:00 - 18:00

TEL 03-6809-2979

フリーダイヤルをご利用できない場合は、
上記電話番号におかけください。