Introduction
SOCとは、24時間365日体制でセキュリティ脅威を検知・分析し、対策を行う組織です。セキュリティ対策は、セキュリティソフトやファイアウォールなどを設置すれば、完了するというわけではありません。いつ起こるかわからないセキュリティの脅威に対する備えが必要です。そこで、SOCを活用すれば、多様化・高度化したサイバー攻撃に対する備えになるでしょう。
この記事では、SOCとは何か、SOCの必要性が高まっている背景、その役割やメリットなどについて解説します。
目次
SOCとは?
SOCとはどのようなものなのか、ほかのサービスとの違いなどについて解説します。
24時間365日体制でサイバー攻撃を検出・分析し、対策を講じる組織のこと
SOCとは、セキュリティの脅威を24時間、365日体制で監視し、検知・分析して対策を行う組織のことです。Security Operation Centerの略で「ソック」と呼ばれています。
近年、サイバー攻撃の脅威は多様化し、セキュリティ対策の重要性が増しています。対策は、一度行えば十分というわけではありません。社内ネットワークやサーバーなどを日々監視し、脅威を検知したらすみやかに対策を行える体制を整える必要があります。そこで、SOCを構築すれば、企業の情報システムやネットワークを、セキュリティの脅威から守ることが可能です。
SOCの監視対象は、パソコンや各種サーバー、プロキシ、ファイアウォール、セキュリティ製品などです。社内のリソースで、これらの機器を24時間監視するのはむずかしいため、セキュリティ対策を専門会社に委託する企業が増えています。
▽あわせて読みたい▽
>>SOC(Security Operation Center)とは?いま求められている背景や仕組みを解説のページへ
CSIRTとの違い
SOCとよく似たものに、CSIRT(Computer Security Incident Response Team)があります。CSIRTは「シーサート」と発音します。
どちらも企業などのセキュリティ強化を行うための組織で、それぞれのメインの役割が異なる点が特徴です。
・SOC
対象を24時間365日監視し、セキュリティの問題を検知・分析を行う
・CSIRT
セキュリティの問題が発生した際の復旧・対策を行う
SOCは監視、検知、分析を行うのがメインであるのに対し、CSIRTは検知後の復旧や対策がメインであることがわかります。ただし、SOCのなかで、対策まで行う場合もあります。
▽あわせて読みたい▽
>>CSIRT(シーサート)とは?必要な理由や役割について解説のページへ
MDRとの違い
MDR(Managed Detection and Response)は端的に言えば、EDR(Endpoint Detection and Response)の運用などをマネージドサービス化したものです。SOCやCSIRTとは、その言葉があらわす概念が異なることがわかります。
社内にEDR運用を担うリソースが不足している場合には、MDRを利用することで、SOCやCSIRT業務の一部をアウトソーシングできる場合があります。
MDRについてはこちらもご覧ください。
>>MDRとは?SOCとの違いや機能、活用するメリットについて解説のページへ
NOCとの違い
NOC(Network Operation Center)とは、ネットワークの速度や安定性などのパフォーマンスを維持するために、24時間365日監視を行う組織です。ネットワークの異常を検知し、ネットワーク障害や通信速度低下などに対する対応を行います。
SOCと同様に24時間監視を行いますが、対象となる機器や監視する目的、内容が異なることがわかります。
SOCの必要性が高まっている背景
SOCの必要性が年々高まっている背景には、サイバー攻撃の巧妙化や社内の働き方改革などの要因があります。ここでは、SOCがなぜ求められているのか、その背景についてご説明します。
サイバー攻撃の手口の巧妙化
近年、サイバー攻撃の手口の多様化・巧妙化が進み、セキュリティソフトによる発見が困難なマルウェア感染なども増えています。セキュリティソフトや監視システムなどによる対策が進んでも、それを超える手口が次々と生まれているのが現状です。
このようなサイバー攻撃の巧妙化に対応し、攻撃の分析や対策を行うためには、高い専門性が必要です。自社内で対応するのではなく、SOCのような高い専門性をもつ専門会社に委託する必要性が高まっています。
働き方改革によるセキュリティ対策の変化
各企業のリソースの範囲内で、24時間365日体制のセキュリティ対策を行うのは非常に困難です。本来の業務とは別に、セキュリティ対策にリソースを費やす余裕がない企業も多いでしょう。
従業員の働き方改革が求められているなか、セキュリティ対策の対応の仕方にも変化が生まれています。専門会社にセキュリティ対策を任せることで、従業員が働きやすい環境を重要視する企業が増えています。
SOCの役割
SOCには、企業のセキュリティを守るための監視・分析・対策などを行います。ここでは、SOCは具体的にどのような役割をもっているのかをご説明します。
ログの監視・アラート通知
SOCは、24時間365日体制で、対象のネットワークやサーバー機器などの監視を行います。ログやメッセージの監視を行い、異常な動作や問題の兆候がないかを確認し、問題を検知したらアラートにより通知します。
このように日々監視を行い、問題の兆候を検知した場合に迅速に管理者へ知らせるのが、SOCの一つ目の重要な役割です。
脅威の調査・分析
監視対象の問題を検知したあとに脅威について調査し、問題が発生した状況、影響範囲、原因などを分析します。
問題が発生した際に迅速に調査するべきことは、問題が影響をおよぼす範囲はどこまでか、どのような影響があるのかです。影響度合によって、サーバーやネットワークを隔離する必要があるのか、必要がある場合はどこまで切り離せばよいかなど、対処内容が変わってきます。ウィルス感染などが起こった場合には、被害の拡大を防止するための一次対処を迅速に行うことが重要です。
一次対処が終わったあとも、引きつづき問題の調査・分析を進め、対策の実施、再発防止策の策定へとつなげていきます。
SOCが脅威に対応する流れ
1.セキュリティの脅威の検知、アラート通知
ログやメッセージからセキュリティの脅威を検知し、アラートにより管理者などに通知します。
2.状況を調査、分析
状況を調査し、状況の把握、影響範囲の特定などを行います。
3.原因の特定
調査結果から、原因を特定します。
SOCを自社で構築するために必要なこと
社内システムやネットワークを24時間監視するSOCを、自社で構築するためにはどのような対応が必要なのかをご説明します。
監視対象の把握
まずは、自社の社内システムやネットワークなどの環境を把握し、どの部分を監視すべきかを把握する必要があります。
監視対象を広げすぎるとリソースが足らなくなり、対応レベルが下がってしまいます。逆に、監視対象が狭すぎると、十分なセキュリティレベルを維持できないでしょう。
監視すべき対象がどこまでなのか、どのレベルで監視すべきかを把握することが重要です。
セキュリティ人材の確保
社内システムやネットワークの運用、監視、分析、インシデント対応ができる専門知識をもつ人材の確保が必要です。
必要とされるのは、一般的なITインフラ運用のための知識だけではありません。高度なセキュリティに関するスキルや知識も求められます。社内の業務を担当しながら、SOCの業務を行うことは非常にむずかしく、求められるスキルは業務スキルと大きく異なります。
SOCの業務を担当するための、専門のセキュリティ人材を確保する必要があるでしょう。
運用体制の確立
24時間365日のセキュリティ監視を行うためには、自社内で24時間の監視体制を用意する必要があります。セキュリティ人材を確保できたとしても、24時間監視体制を自社内で確立するのはむずかしい企業が多いでしょう。その負担とコストを考えると、自社内でSOCを構築するのではなく、セキュリティ専門会社に委託する方がよいと判断するケースもあります。
SOC運用をアウトソーシングするメリット
SOCを自社内で構築するために必要なことを見ていくと、アウトソーシングするメリットは何なのかがわかってきます。ここでは、SOC運用をアウトソーシングするメリットについて、詳しくご説明します。
早急にセキュリティ対策ができる
SOCの業務を請け負う専門会社は、高度なセキュリティに関するノウハウを保有しています。そのため、セキュリティの脅威を検知した場合、過去のノウハウを活かして、早急に適切な対策を講じることが可能です。
一方、自社内で対応する場合、最初はノウハウがないため、対応に戸惑うことも多いでしょう。一からノウハウを蓄積していくのは、容易なことではありません。
問題が発生した際に、すばやくセキュリティ対策を実施するためには、実績が豊富な専門会社に依頼するのがよいでしょう。
高度なサイバー攻撃にも対応できる
サイバー攻撃は年々巧妙化しており、一般の企業が対応するのは非常に困難です。その点、セキュリティに関する高度な知識や豊富な経験、ノウハウをもつ専門会社なら、高度なサイバー攻撃にも対応できます。最新のセキュリティの脅威に関する知識、対処方法のノウハウを駆使して、迅速な対応をしてもらえるでしょう。
従業員がコア業務に集中できる
SOCをアウトソーシングすれば、自社内で24時間365日体制のセキュリティ監視業務を行うなどの必要がなくなります。その結果、自社のコア業務に従業員を集中させることが可能です。
SOCの運用サービスを選ぶ際のポイント
SOCをアウトソーシングする際には、自社にあった運用サービスを選ぶ必要があります。そこで、自社にあったサービスを選ぶために、確認したい重要なポイントをまとめました。SOCサービスを選ぶ際の参考にしてみてください。
サービスの対応範囲・内容
サービスの対応範囲やサービス内容が、求めているものとマッチしているかを確認する必要があります。監視対応と検知のみのサービスもあれば、検知した脅威への対策の実施までを行う場合もあり、対応範囲や内容はさまざまです。自社が求めるサービスの対応範囲や内容はどこまでなのかを明確にして、自社にあったサービスを選ぶ必要があります。
スタッフの専門スキル
依頼する専門会社に所属するスタッフがもつ、専門スキルのレベルも重要なポイントです。専門会社のスタッフの人数、体制、資格取得の実績、過去の対応実績などの情報から、スタッフのスキルが十分かを確認するとよいでしょう。
サポート体制
セキュリティの脅威を検知した際に、対策まで対応してもらえるかなど、サポート体制がどうなっているかを詳しく確認しましょう。サービスプランによってサポート体制が異なる場合もあるので、プラン内容を細かく確認することをおすすめします。
同業種における実績
専門会社の過去の実績を比較する際には、実績件数だけでなく、自社と同業種の企業の採用実績が豊富かも確認しましょう。同じ業種の実績が豊富な専門会社は、その業界の業務に関する理解が深いので、よりきめ細かいサポートを受けられます。
価格
サービス内容や対応範囲に対して、妥当な価格かどうかも重要な確認ポイントです。あまりに安すぎる場合は対応レベルが低い可能性があり、高すぎても問題です。複数の専門会社のサービス内容と価格を比較して、自社にあった価格のサービスを選びましょう。
SHIFTのSOC(セキュリティ監視)運用支援について
SHIFTのSOC(セキュリティ監視)運用支援では、多種多様なデバイスやクラウド環境に対応した、24時間365日のセキュリティ監視を行います。あらゆるデバイスやAWS、Azureなどのクラウドサービスのログを監視し、緊急性の高いアラートの通知、全アラートの月次レポート対応などのサービスをご提供します。
セキュリティ監視運用サービスの利用をご検討の際は、お気軽にSHIFTにご相談ください。
関連サービスについて
SHIFTのセキュリティ監視サービス(SOC)のご紹介
あらゆるデバイスやクラウド環境のログ監視し、アラートを通知するSHIFTのセキュリティ監視サービス(SOC)の紹介資料です。
まとめ
この記事では、SOCとは何か、SOCの必要性が高まっている背景、その役割やメリットなどについて解説しました。
セキュリティ対策は、セキュリティソフトの導入やファイアウォールの設置などを一度行っただけで、十分というわけではありません。セキュリティの脅威が発生していないか常時監視を行う必要があり、脅威を検知した際はその都度適切な対応が必要です。
自社内で24時間対応のセキュリティ監視を行うのがむずかしい場合は、ぜひSHIFTにご相談ください。SHIFTのセキュリティ監視運用支援なら、ご要望にあった監視体制やアラート通知などの運用を支援いたします。
>>SHIFTのSOC(セキュリティ監視)運用支援のページへ
>>お問い合わせページへ
>>料金についてページへ