SOCの重要性

近年、サイバー攻撃やネットワーク犯罪が高度化を見せています。

企業では、ITシステムに対するネットワーク不正侵入やDDoS攻撃、ワームなどのサイバー攻撃の脅威に対応すべく、従来サーバ・ネットワーク分野の技術者が対応していたものを、情報セキュリテイに特化した技術者が対応するようになってきました。そうした中で、「Security Operation Center(SOC)」と呼ばれる組織が活躍を見せています。

SOCとは

SOCというのは、顧客や自組織を対象とし、ネットワークを監視、必要に応じて設定変更やサイバー攻撃の危険に晒された際には迅速に対処する組織のことです。

冒頭で書いたように、サイバー攻撃が高度化したため、ウイルス対策ソフトの導入だけに留まるのではなく、こうした専門の知識を持った組織に監視してもらおうという考えを持つ企業が増えてきています。具体的に、その背景には次のようなことがあります。

・標的型攻撃をはじめ、24時間365日、世界中からサイバー攻撃が行われるようになっていること
・今までは社内ITシステムといえば、サーバーとパソコンといったシンプルな構成だったものが、仮想デスクトップ、タブレットやスマートフォンなど多様な環境・デバイスの利用が増え、さらに在宅勤務の増加やモバイル環境での利用が進んでいること
・クラウド環境の活用など、今までの社内LAN環境以外にも、ネットワーク環境が多様化していること

●参考資料:今だから学ぶ!セキュリティの頻出用語:SOCとは?

SOCの構築について

SOCを構築する際には、まずSOCの定義付けから始まります。ミッションは何か、どこまでの範囲で責任を負うのかという点を確認する作業が必要になります。さらにSOCをサポートするにあたって必要な手順やプロセスを明確にしておくことも必要です。また「使用事例」およびSOCが受診するデータのタイプを決定し、顧客のクラスとSOCとの関係性を決定します。具体的な業務にあたり、優先順位を決定しておくことで、円滑なセキュリティ対策を行うことができるようになります。その後はITILのコアコンポーネントを理解し、効果的なSOCを継続的に運営しましょう。

ITILサービスとは、ITサービスマネジメントのベスト・プラクティスをまとめたフレームワークとして世界で認められています。
参考資料:https://www.itsmf-japan.org/aboutus/itil.html

外部SOCを選定するポイント

SOCの業務は多岐に渡ります。そこで、このサービスを検討する際には、本当に優れたスキルを持っているのか、安心な環境なのか、人員は十分に揃っているのか、などという点には目をこらす必要があります。ネットの世界は24時間動いているので、24時間365日、果たして本当に監視してもらえるのか?という点が大事になります。

機能するSOCに必要な5大条件

1.冗長化された設備を保有していること
2.24H365D稼働できる要員の体制が構築されていること
3.監視システムと顧客管理システムが連動して動く仕組みであること
4.レポート出力が自動化されていること
5.必要なサービスがメニュー化されておりその価格が適切であること

参考資料:“にわか”SOCに気を付けろ!機能的なSOCを見極める視点!

このような条件に照らし合わせた上で、自社のサービスやコスト、しっかりとした情報管理を意識し、外部委託をするようにしましょう。

CSIRTとの違い

同じくセキュリティ関連の組織であるCSIRTとの違いについてここでは触れます。

SOC(Security Operation Center)とはセキュリティデバイスやサーバのログを監視し、インシデントを発見する組織の総称。危険がないかを常時監視する「警備員」の役割を担います。一方のCSIRT(Computer Security Incident Response Team)はインシデントの対応を行う組織の総称。危険が発生した時に活動する「火消し役」です。

参考資料:CSIRT/SOCは標的型サイバー攻撃の有力な“砦” 効果を最大化する構築・運用のポイントとは

要するに、SOCは適切な運用とセキュリティ上の監視にあたる組織であり、CSIRTはセキュリティ事故が発生した時に緊急の対応にあたる組織であると言えます。また、CSIRTは再発防止策の提示まで行います。SOC同様、CSIRTもその重要性の認識は高まってきており、多くの企業で導入がなされるようになりました。政府組織でも、内閣サイバーセキュリティセンター内の緊急対応支援チーム(NIRT:National Incident Response Team)はCSIRTとして設立されています。

SOC、CSIRTという専門性の高い領域においては、コストや組織・技術的な観点からまだ多くの課題が存在します。トレンドマイクロの佐山享史氏は「体制の構築がゴールではないが、CSIRTを設置することで、外部CSIRTと情報共有できるなどのメリットがある。一方、SOCの目的はインシデントを発見する機能を作ること。いずれも『効果の可視化』に向けた指標づくりや経営陣との合意形成により適切な運用が可能になるだろう」と述べています。

今後ますます高度化を見せることが予想されるサイバー攻撃において、適切な対策の導入をよく検討し、高い技術力を持った信頼できる技術者集団に任せるのも一つの手だと言えるでしょう。