SOC（Security Operation Center）とは？いま求められている背景や仕組みを解説

SOC（Security Operation Center）は、社内環境などにおいてネットワークやIT機器など各種デバイスを24時間365日で監視し、サイバー攻撃の検出や分析、対応策の助言などを行う部門や専門組織を指します。

巧妙化するインシデントの兆候を見抜くためには、高いセキュリティスキルが求められることや、24時間365日の監視体制を必要とされることなどから、SOCをアウトソーシングサービスとして展開する事業者も増えており、そういったサービスを利用する企業も年々増加しています。

一方で、大企業において自社内でSOCを組織する企業も存在しますが、このようなSOCは「プライベートSOC」といいます。

極端な話、インターネットへ接続するすべてのシステムにSOCは必要です。特に企業や組織によるIT利用の多様化が進み、近年のリモートワークの増加も相まって、社内のパソコンからだけでなく、自宅からインターネットを介して社内システムへアクセスするケースや、スマートフォン、タブレットなどさまざまな端末からアクセスする場合もあります。
また、社内のオンプレミスな環境だけでなく、クラウド環境の利用も増えてきており、多様化した環境・端末を狙ったサイバー攻撃のリスクも高まってきています。こうしたサイバー攻撃やセキュリティ脅威の高度化・複雑化に伴い、ネットワークやデバイスのログを収集し、インシデントの兆候を発見したり、分析したりする業務を従来のネットワーク管理者やシステム管理者が行うには難易度が高く、セキュリティ技術に特化した人材が求められています。

また、セキュリティ監視においてはSIEM(Security Information and Event Management)といった機器やシステム上のログを集約し、相関的に分析することで、不正アクセスや攻撃の兆候を検知するシステムがありますが、SIEMでは一般的に過検知も多く、検知情報の分析や、ポリシー管理など適切に運用するにはセキュリティ知識に長けたアナリストの存在が不可欠です。
しかし、こうした人材を自社内で確保し、24時間365日で対応をするには人材のリソース確保やコスト面においても困難な場合が多いのが実状です。そのため、近年では、あらかじめそのような人材やSIEMの運用を行うSOCをアウトソースする企業が増えています。

SIEMについてはこちらもご覧ください。
＞＞SIEMとは？読み方や導入する必要性・メリットをわかりやすく解説のページへ

SOC同様にセキュリティに関する組織としてCSIRT(Computer Security Incident Response Team)があります。SOCは脅威となるインシデントの検知そのものを重視しているのに対し、CSIRTはインシデント発生時にインシデントレスポンスを主体的に担う専門チームになります。インシデントマネジメントを全般的に担当し、インシデントレスポンスだけでなく、事前の情報収集やインシデントハンドリングマニュアルの作成などを担います。
ただし、インシデントが発生した際にそれを迅速に認識し、対応するための仕組みが重要であることはSOC、CSIRT共に共通していえることです。自組織のみでそうした仕組みをつくることが困難な場合は、外部のサービスを頼るという手段もあります。
例えば、CSIRTと協調してインシデントレスポンスを補助するMDR(Managed Detection and Response)といったサービスがあります。インシデントレスポンスではEDRのような「脅威検知のための技術」の活用や、脅威を検知した際の侵入経路の特定や情報流出経路の遮断など、高度なスキルを駆使した素早い対応が求められますが、こうした作業をマネージドサービスとして代行してくれるのが、MDRです。

CSIRTについてはこちらもご覧ください。
＞＞CSIRT(シーサート)とは？必要な理由や役割について解説のページへ

MDRについてはこちらもご覧ください。
＞＞MDRとは？SOCとの違いや機能、活用するメリットについて解説のページへ

SOC監視では各種デバイスのログをチェックします。対象の例としては、ファイアウォールやIDS／IPS、WAF(Web Application Firewall)といったネットワークセキュリティ機器、エンドポイントの挙動を監視するEDR製品のログなどが該当します。これらのログをリアルタイムに監視・分析することで、以下のような攻撃を検知することが可能です。

ファイアウォールやWAFのログにより、Webサーバーなどに対するDoS攻撃やSQLインジェクションなどのサイバー攻撃を検知できます。

EDR製品のログやネットワーク機器でのアウトバウンド通信のログを監視することで、マルウェアによるPC上の不審な挙動や、外部のC2サーバーなどに対する不審な通信を検知することができます。

ADなどのログから大量にログインを試みて認証に失敗するログや、普段と異なる場所や国からのアクセスログなどから、攻撃者による不審なログイン試行を検知することができます。

SOCサービスの提供事業者を選定する際のポイントとして以下の3つがあります。

監視や分析がアナリストに属人化されていると、同じ事象に対しても、アナリストによってSOCからのアラート通知の内容が異なるなど、品質が安定しない場合があります。外部基準に沿った品質の裏付けなど、属人性を排除した安定した監視・分析ができるサービスを選定することが有効です。

SOCを導入しようとしても、コストが適用可能な予算内に収まらなければ意味がありません。しかし、24時間365日での対応など、希少なセキュリティ人材を稼働させるため、コストが高くなりがちです。一定の品質を保ちつつも、適用可能なコストで運用できるサービスを検討してください。

監視したいシステムがSOC側で対応しているかどうかも、選定に必要な要素となります。特に一部のSOCサービスでは、ベンダーが提供しているファイアウォールなどのセキュリティ製品とセットになっていることも多く、それ以外の製品やシステムに対応していないことがあります。また、クラウド基盤上のマネージドサービスの監視については、対応していないことも多いのが現状です。

そうしたなかで、監視に対応できる製品やサービスの豊富さ、クラウド基盤への対応可否、また、監視に際してユーザー側で複雑な設定や構成の変更が必要になる場合もあるので、そのようなユーザー側の必要作業の程度なども考慮して、SOCを選定するのがよいでしょう。

重要度が増すSOCですが、自社内でプライベートSOCを立ち上げるのは容易ではありません。サイバー攻撃は国境を越えて昼夜関係なく実行されており、24時間365日体制での監視が必要となります。そのために二交代制あるいは三交代制で監視する人員を確保し、さらに深刻な事態が発生した時に適切な判断を下せるアナリストを採用するのは非常にハードルが高くなります。

セキュリティ人材は慢性的に不足しており、採用や体制構築は常に課題となっている状態です。そのうえで、各種機器を監視するためのアセットや設備を整えるとなると億単位の投資が必要となり、よほど大規模な企業、あるいは絶対に停止してはならない重要インフラを担う企業でなければプライベートSOCを実現するのは難しいのが現実でしょう。

そこで注目されているのが、サードパーティが提供するセンター型のSOCサービスです。実はセンター型のSOCサービスは、国内でも企業のインターネット利用が始まった約20年前から提供されていました。当初は、ネットワークの運用監視を通して安定稼働を担うNOC(Network Operation Center)という役割から始まり、ファイアウォールやIDS/IPS、WAF(Web Application Firewall)といったネットワークセキュリティ機器の導入とセットでセキュリティ面について運用監視を担当するという位置づけでした。

これらのSOCサービスは「運用監視サービス」「マネージドサービス」などと呼ばれることもあり、基本的にはセキュリティ機器の導入とセットの形で提供する形です。セキュリティ専業企業はもちろん、システムインテグレーターが付加サービスの一環として提供するケースもあります。あらかじめ定めたSLA(ServiceLevel Agreement)に従って監視業務を肩代わりし、定例レポートを提供することで、多額の投資や運用負荷をかけることなくセキュリティ運用を実現できるメリットがありました。

しかし、センター型SOCサービスには課題がありました。最大の問題は、対象とするセキュリティ製品が限定されている点です。サービスを提供する事業者によって「ファイアウォールならばA社とB社の製品だけ」「IDS/IPSはC社の製品だけ」という具合に監視できる機器が限られていたのです。

そのため、本当は導入したい機器があっても使えなかったり、すでに他の機器を利用していてもそのまま既存資産を生かしたりすることは困難でした。そこで登場したのが、利用するセキュリティ機器を問わずに外部から監視をする「SOC as a Service」(SOCaaS)というサービスです。オンプレミス環境に導入してきた従来のセキュリティ製品はもちろん、続々と提供され始めているクラウド型の製品やサービスにも幅広く対応できます。このため、自社の環境に合わせた適切なセキュリティ製品を選んで、既存の投資を無駄にせずに済むのです。

SHIFTが提供するセキュリティ監視サービスは、まさにSOC as a Serviceのコンセプトを具現化し、SOCをサービスとして提供するものです。どのような機器を使っている企業でも、そこから発せられるログを24時間365日体制で収集し分析したうえで、必要に応じて適切に対処します。事業者側の都合で既存の機器を入れ換える必要はなく、導入へのハードルが低いことが最大の特徴です。しかも「as a Service」というように、送信するログの量に合わせた課金となるため、まずはスモールスタートで容易に利用を始められます。

SHIFTのセキュリティ監視サービスは、主に3つの役割で構成します。1つは、アラートの「監視」です。各機器からのアラートはSIEM(Security I nformation and Event Management)と呼ぶログ分析基盤に送り、これまでに蓄積してきたナレッジや「MITRE ATT&CK」などのフレームワークと照らし合わせたうえで、さらにAI技術も組み合わせて解析します。その結果を基に、宮崎に置く監視センターのメンバーが判断し、必要に応じてお客様に報告していきます。

2つ目の役割は「セキュリティアナリスト」です。監視メンバーだけで対応・判断できない新たなインシデントが見つかった場合に、専門的な知見を生かしてサポートしていく役割となります。さらに詳細な分析が必要な場合には、フォレンジックの専門家など他のメンバーと連携して支援していくこともあります。

そして3つ目が「システム管理」の人材です。アナログで属人化された形ではなく、運用管理から対応の流れを仕組み化し、標準的な形で対応できるように整備していきます。SHIFTは、テストベンダーとしてのSHIFTの知見をサービスに生かしていることも強みとしています。例えば「攻撃者がどのようなところを狙うか」「最近はどのようなリスクが高まっているか」といった最新のセキュリティ動向を元に、ナレッジベースに落とし込めます。

SHIFTのセキュリティ監視サービスがユニークであるもう一つの点は、自身の監視体制に加えて外部のSOCサービスも組み合わせていることです。例えば「クラウドの設定を重点的に見たいのであれば、このSOCサービスが適切」といった具合に、企業が利用している機器の特性や監視対象に合わせ、あらかじめ選定した外部の専門的なSOCサービスを組み合わせて提供しています。それも、各SOCからの報告を単に受け渡すのではなく、MITRE ATT&CKに沿って紐づけたうえで社内に蓄積したナレッジも含めて整理した形で提供します。これにより、より高度な解析が可能となり、脅威を早期に検知して対処できるようになります。

SHIFTのセキュリティ監視サービスならば、こうして企業自身で複数のSOCサービスを選定して組み合わせる手間をかける必要はありません。また、既に利用している構成に変更を加えることもなく簡便にすぐ利用できます。新たに登場してくるクラウドサービスも含めて監視できる、まさに『誰も見捨てない』監視サービスを提供しているのです。

セキュリティ監視はSIEMなどのセキュリティ機器を導入すれば終わりではありません。セキュリティリスクやサイバー攻撃の手法は日々変化しており、それに応じた情報収集や監視機器、機能の追加、人員強化などを継続的に行うことが必要となります。前述の通り、こうした業務に対応できるセキュリティ人材を24時間365日で確保するのは困難であり、膨大な投資も必要となります。

そのため、監視のためのセキュリティ人材がアウトソースでき、かつ仕組化・標準化により低コスト・高品質な監視を幅広いIT機器に柔軟に提供できる「SOC as a Service」の導入は、自社のセキュリティ監視に悩む多くの企業にとって有効な解決策になり得るといえるでしょう。