サイバー攻撃の高度化・悪質化にともない、SOC をはじめとしたセキュリティ運用への意識が向上しています。反面、高度な専門性やスキルをもつ人材不足は企業にとって大きな課題です。この記事は、SOC に興味がある情報システム担当者にむけ、SOC サービスを選ぶ際のポイントやメリットなどを解説しています。SOC とは何かを理解することに役立ててください。
SOC とは
SOC(Security Operation Center/セキュリティオペレーションセンター)とは、企業がもつネットワークやシステムを24時間365日監視して情報資産を守る拠点(組織)です。SOC は高い専門性が求められる分野なため、外部に委託するケースが増加傾向にあります。
SOC の仕組みをチェック
SOC の仕組みは、デバイスのログを集約して監視する形式によって成立しています。監視するログの一例は次のとおりです。
- ウイルス対策ソフト
- メールサーバー
- IPS
- ファイアウォール
- 認証サーバー
- Web フィルタリング など
セキュリティインシデントが検出されたら、CSIRT(Computer Security Incident Response Team)に連絡がいく流れとなっています。CSIRT と SOC の違いについては、後ほど詳しく解説します。
SOC は発展段階別に3つに分けられる
SOC はニーズや技術革新に伴って、3つの発展段階に分けられています。
初期の SOC の主な役割は、IDS(Intrusion Detection System/不正侵入検知システム)と IPS(Intrusion Prevention System/ 不正侵入防御システム)をベースとした不正侵入の検知です。
発展段階の SOC は、Sandbox と WAF(Web Application Firewall Web)の導入が特長的です。WAF とは Web のアプリケーションに特化したシステムで、Sandbox はより多くの攻撃を検知できるシステムとして知られています。
現在の SOC は、企業の SIEM(Security Information and Event Management)を活用したセキュリティ対策も可能です。効率的で統合的なログ管理や監視システムが構築できるため、膨大な攻撃パターンへの自動的な検知もできます。
MSS や CSIRT との違いを解説
SOC と混同されやすい言葉に MSS や CSIRT があります。MSS や CSIRT は SOC とどのような違いがあるのか解説します。
MSS との違い
MSS(Managed Security Service)とは、企業のゲートウェイに設置したセキュリティ機器のログを MSS がチェックして危険度に応じて企業に通知するサービスです。
MSS は SOC と異なり、自社で担うセキュリティ機器のログの監視や分析を専門のセキュリティアナリストにアウトソーシング(業務委託)します。
CSIRT との違い
CSIRT(Computer Security Incident Response Team)とは、コンピューターやネットワークで何らかのインシデントが発生した場合に司令塔になるサービスです。また、レポートのチェックや社内のセキュリティ情報も周知します。
SOC は CSIRT と違って、CSIRT からの分析依頼をベースにデータの解析やログ分析の実務を担います。
SOC を導入するメリットとは
SOC を導入すると、セキュリティレベルが格段にアップします。情報流出は企業の利益や信用に関わる重大なものです。リスク回避のための施策は必要不可欠と言えるでしょう。
情報セキュリティの対策が十分になされていれば、不正アクセスがあった場合の被害を最小限に抑えることが可能です。
近年は企業規模に関わらずサイバー攻撃が増加しているため、セキュリティへの対策は多くの企業にとって優先順位の高い施策になっています。
SOC でセキュリティ対策を万全にするべき理由は
企業はどうして SOC でのセキュリティ対策を万全にすべきなのでしょうか。代表的な理由を3つ解説します。
高度なサイバー攻撃
サイバー攻撃への対応には、SOC での手厚いセキュリティ対策が必要になります。SOC はランサムウェアのような悪質なマルウェアにも対応できるサービスです。よって SOC を導入すれば、時代の流れに対応した高度なセキュリティ対策が実現できます。
複雑になったセキュリティソリューション
複雑化した攻撃への対応は、高度なセキュリティ対策も重要になります。SOC は複雑な問題に対しても効率的な対処が可能です。
SOC にはセキュリティに関する高度な専門的知識が不可欠である一方で、自社に適切な人材が少ない現状もあります。
クラウド・テレワークの普及
クラウドサービスやテレワークの普及により、デバイス機器を社外で利用する機会が増えています。柔軟な働き方ができる反面、ハッキングのリスクへの対策も課題です。
SOC なら、業務で必要な社内ネットワークのセキュリティ対策をすべて実施できます。社外からのアクセスにおけるセキュリティの対策も可能です。
SOC を導入する手順を説明
SOC の導入は、実際にどのような手順を踏めば良いのでしょうか。4つの段階にわけて解説します。
SOC に任せる業務を決定する
第一に SOC の任務や責任範囲を設定します。SOC が担当する業務が明確にできないと、方向性が曖昧になり適切な効果は得られません。よって、まずは SOC を導入する目的をはっきりさせ、社内で SOC の定義づけをしましょう。
作業をマニュアル化する
SOC の基本的な方向性が明確化されたら、次は作業をマニュアル化します。SOC のサポートには、必要な手順やプロセスのテンプレート化がポイントです。SOC を導入した後は、自社で必要となる作業を文書としてまとめておくと流れを社員間で共有できます。
人材を確保する
SOC の管理には専門性の高い知識とスキルが必要不可欠です。運用は、基本的に受付時間やシフトごとに必要なスタッフを配置しますが、社内で人材の確保が難しい場合は外部への委託も可能です。
イベントを管理する
この場合のイベントとは、ネットインフラに影響する状態の変化を指します。イベントを管理すると、SOC が受け取るイベントの分類や優先順位の割りあてが可能です。結果として、システムの安定化と効率的な運用が実現します。
自社で SOC を行うのが難しい3つの理由とは
SOC は企業のセキュリティ対策に強い効果があります。しかし、多くの企業では自社で SOC の導入が難しいのが現状です。この章では、自社での SOC が困難だとされる代表的な理由を3つあげて解説します。
コストの負担が大きい
SOC には高度な技術が必要なため、人材育成にはかなりのコストがかかります。
例えば関連セミナーや講座は1回に数十万円するケースもあるため、金銭的な負担が大きい点がデメリットです。加えて育成期間は最低で1年以上はかかるので、金銭面だけでなく、時間的な負担も考慮する必要があります。
運用にかかる工数が多い
SOC の運用には、24時間365日の監視が必要です。
また、近年は検出が難しい脅威が増加しており、自社で SOC を運用するにはさらなる労力がかかります。SOC の運用は煩雑なため、外部に委託する企業も多いようです。
人材の確保が困難
SOC の運用には、専門的なスキルや知識が必要不可欠です。しかし、前述のとおり自社での人材教育は、金銭的・時間的な負担からみて現実的ではありません。
SOC に特化した人材を新たに雇用する方法もありますが、人材の市場価値は高騰しており、優秀な人材の確保は容易ではないのが悩みの種です。
SOC サービスを導入すれば、管理社員の負担軽減につながる
SOC にセキュリティ管理を任せられるため、今まで情報セキュリティの業務を担当していた社員の負担が少なくなります。また、SOC には高度な機能があるため、業務効率の向上も期待できます。
SOC サービスを選ぶときのポイントを確認
いざ SOC を導入することになっても、どのようなサービスを選べば良いか悩む場合もあるのではないでしょうか。この章では、SOC サービスを選ぶ際のポイントを解説します。
費用
どのセキュリティ対策を SOC に期待するかによって、料金は異なります。原則としてセキュリティレベルは高くなるほど費用が大きくなります。従って、導入したいサービスのレベルと費用のバランスを考慮しながら決定することが大切です。
サービスの内容
SOC の最大の特長は24時間365日、自社のインシデントを検知し、サイバー上の脅威を防ぐ点です。利用するサービスによっては、レポートの自動出力機能や報告速度が速いものもあります。
ただし、サービスの内容が充実するとコストが高くなりやすいため、注意が必要です。
サポートの内容
ソフトとハードの両面から安全性をカバーできるサービスを選ぶと、社内システムの安定性を総合的に高められるためおすすめです。
SOC はセキュリティマネジメントとシステムマネジメントのどちらにも対応できる機能があります。SOC でサポートできる内容が自社の求めるセキュリティ対策のニーズと合致しているか確認してください。
業務負担の軽減具合
SOC を導入しても、自社の社員が定期的に監視する必要性があると、効果的な業務負担の軽減にはなりません。SOC のなかには、サイバー攻撃を受けた際の対応もできるものもあります。一括して任せられる SOC を導入すれば、管理者の負担の軽減が可能です。
カスタムが可能か
サイバー攻撃はあらゆる手法を用いて行われるため、標準的なシグネチャだとセキュリティを突破される可能性があります。
しかし、カスタムが可能な SOC の場合、自社の状況にあわせてシグネチャの構築が可能です。独自のシグネチャを構築できれば、多様な変化に対して柔軟に対応できます。
まとめ
SOC は近年、高度化・多様化している情報セキュリティリスクに対応できます。しかし企業にとって必要不可欠でありながら高い専門性が求められる分野なため、運用を外部に委託するケースも増加しています。
SBテクノロジーの「マネージドセキュリティサービス(MSS)」なら、多種多様なサービスのなかから最先端の SOC サービスのご利用が可能です。経験豊富なセキュリティ専門アナリストたちが、豊富なノウハウを活かしてお客様のシステムを安全に守ります。企業のセキュリティ強化や管理をご検討の方はお気軽に資料をご希望ください。