SOCとは? CSIRTとの違いやメリット、導入時の課題を解説
総務省の「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によると、サイバー攻撃などによる不正アクセスの認知件数は2022年で2,200件となっており、企業が情報流出やシステムの機能停止を避けるためには、厳重なセキュリティ対策が必須だといえます。セキュリティ対策を検討する上で、サイバー攻撃の検出・分析などを行う専門組織であるSOC(Security Operation Center)の導入を検討している企業も多いのではないでしょうか。
本記事ではSOCの基本知識やCSIRT(Computer Security Incident Response Team)などの似たような言葉との違い、SOC導入のメリット、課題などを解説します。セキュリティ体制の強化を考えている場合は、ぜひ参考にしてください。
SOCとは、サイバー攻撃の検知などを行う専門組織のこと
SOCとは、機器やシステムのログを監視・分析し、サイバー攻撃やインシデントの検出などを行う専門組織のことです。SOCの基本的な業務は、各種サーバーやパソコン、ネットワーク機器などを24時間365日監視して、インシデントやサイバー攻撃を検知することです。インシデントなどの検知には専門知識やスキルが求められるため、情報システム部門とは別にSOCを構築する企業が増えています。
SOCが必要とされている背景
SOCが必要とされている背景には、企業が利用するサービスやデバイスの多様化に伴い、サイバー攻撃も多様化・巧妙化しているという事情があります。
従来の企業では、オンプレミス型でサーバーやIT機器を利用することが、一般的でした。しかしクラウド型のサービスが普及し、利用するデバイスもパソコンのほかにスマートフォン、タブレットと多様化しています。また、テレワークの広まりなどにより、社外から社内システムにアクセスする場面も増えました。このようなアクセス方法の多様化に合わせてサイバー攻撃も多様化・巧妙化し、セキュリティリスクが高まっています。
多様化・巧妙化したサイバー攻撃を防ぐには、24時間365日、ログを監視・分析し、いち早くインシデントを検知することが必要です。この業務を情報システム部門が通常業務と兼務するのは難しいことから、セキュリティ対策の専門組織であるSOCの必要性が増しているのです。
- 併せて読みたい
SOCと似たような言葉との違い
SOCと混同されやすい言葉として、CSIRTとMDR(Managed Detection and Response)があります。SOCとCSIRT、MDRの間には、下記のような違いがあります。
SOCとCSIRTとの違い
SOCとCSIRTは同じセキュリティ対策のための組織ですが、異なるのは担当業務の範囲です。CSIRTとは、インシデント発生後の対応を担当する組織です。
SOCがログを収集・分析してインシデントを検知するのに対し、CSIRTはインシデントが発生した場合のリスク評価とインシデント後の対応を行うという点が異なります。また、組織内外へのインシデント連絡や組織内のルール制定・更新などもCSIRTの業務です。
- 併せて読みたい
SOCとMDRとの違い
SOCとMDRも、同じセキュリティ対策のための組織ですが、SOCが社内・社外を問わないセキュリティ対策組織を意味する言葉であるのに対し、MDRはセキュリティ対策の委託先となる社外組織を意味します。
MDRとは、SOCやCSIRTの役割を担うアウトソーシング企業です。MDRに委託することで、短期間でセキュリティ担当部門を構築できるため、セキュリティ人材が不足している企業に利用されています。
しかしMDRに頼りきりになると、社内の人材育成が後回しになってしまう可能性もあります。MDRに委託をしつつ、自社のセキュリティ人材の育成や採用を進めることで、自社のSOCの立ち上げにつなげるのがお勧めです。
SOCを導入するメリット
SOCを導入すると、様々なメリットがあります。代表的なメリットは、下記の2点です。
インシデント対応の迅速化
SOCのメリットは、インシデント対応が迅速化する点です。SOCは、サーバーやネットワーク機器、デバイスなどを24時間365日監視し、インシデントが発生したらすぐに対応できる体制を整えています。そのため、SOCを設置すれば、重要情報の流失やマルウェア感染といったセキュリティインシデントにいち早く気付き、対応できるようになります。
セキュリティ関連業務の効率化
SOCを導入すると、企業全体のセキュリティ関連業務を効率化できる点もメリットです。SOCを設置していない企業では、情報システム部門が通常業務に加えてセキュリティ管理を行っているため、インシデントが発生するとセキュリティ対応にリソースを割かなければならず、通常業務が止まってしまうこともあります。
SOCにセキュリティ管理業務を移管することで、情報システム部門は通常業務に集中でき、業務の効率化につながります。
SOCを自社で構築する場合に必要な準備
SOCを自社の従業員で構築する場合、様々な準備が必要です。少なくとも、下記の4点に対応しなければなりません。
セキュリティ人材の確保
SOCを自社で構築するには、まずセキュリティ人材の確保が必要です。セキュリティ人材とは、セキュリティに関する高度なスキル・知識が豊富な人材を指します。セキュリティ人材の具体例としては、下記のような人材が挙げられます。
- セキュリティ人材の例
-
- セキュリティアナリスト:サイバー攻撃などに関する最新情報を収集する担当者
- インシデントレスポンダー:インシデントに対応する担当者
- 脅威ハンター:未知の脅威に対し、セキュリティアナリストの知識やログを基に脅威を発見する担当者
日々、巧妙化・複雑化するサイバー攻撃に備えるには、最新情報を入手することはもちろん、インシデントの脅威を見抜くスキルも欠かせません。高いスキル・知識のある人材が社内にいないことも多く、SOCの導入に二の足を踏んでしまうケースもありますが、セキュリティ人材を確保できない場合にはまずMDRに依頼しましょう。MDRへの委託と並行して、自社でセキュリティ人材を育成することをお勧めします。
監視用の機器・システムの導入
SOCを構築するには、セキュリティ人材の確保のほかに、機器・システムの導入も必要です。なぜならSOCでは、ネットワーク機器やサーバーのログはもちろん、パソコンの閲覧ログやWeb閲覧履歴、メール送受信履歴といった多種多様なログを24時間365日、分析する必要があるためです。SOCが利用するセキュリティ機器やシステムとしては、下記のような例が挙げられます。
- SOCが利用する主なセキュリティ機器・システム
-
- ファイアウォール:ネットワークレベルで、不正アクセスやサイバー攻撃を防御するためのソフトウェアやハードウェア
- IDS・IPS:プラットフォームレベルで、サーバーへの不正なアクセスを検知・防御するソフトウェアやハードウェア
- WAF:WebサイトやWebアプリケーションへの攻撃を防御するソフトウェアやハードウェア
- SIEM:機器から自動的にログを収集・分析し、異常時に通知するシステム
- SOAR:インシデント発生時の情報収集、初期調査、レポートなどに自動で対応するシステム
- XDR:脅威が侵入というインシデントが発生したときに、攻撃の痕跡を可視化して調査・対応するシステム
- 併せて読みたい
監視範囲の検討
SOC導入時には、セキュリティ監視の対象範囲を検討することも必要です。まずは現状のセキュリティ環境を把握した上で、セキュリティ機器のログ監視のみとするのか、サーバーやOSなどまでを監視対象とするのかなどを決定しましょう。監視範囲を決めることで、自社内で対応かどうか、どこまで対応できるのかが判断しやすくなります。
業務フロー・ルールの見直し
SOC導入の際は、社内の運用ルールを見直すことも必要です。例えば、私物のパソコンやスマホでの社内システムへのアクセス禁止や、許可された記録媒体以外の社用デバイスへの接続禁止などを導入することが考えられます。
セキュリティ対策では、ハード面の対策だけでなく、社内ルールといったソフト面の対策も欠かせません。
SOCを外注する際の業者選定のポイント
社内にセキュリティ人材が不足している場合には、SOCを外注することをお勧めします。SOCは社内の重要な資産や情報を長期的に取り扱うことから、外注先となるMDRを選ぶ際は、下記3点を意識して慎重に検討しましょう。
自社に必要なサービスを提供しているか
SOCの外注を依頼する際は、どのような業務範囲を依頼するのかを事前に検討しておかなければなりません。MDRの業務範囲は、大きく下記の2パターンに分かれます。
- MDRの業務範囲
-
- セミマネージド型:インシデント検知から分析までを担当する
- フルマネージド型:インシデント検知から分析、初動対応、復旧対応までを担当する
セミマネージド型は、社内にセキュリティ人材はいるものの24時間365日体制を構築できない企業に適しています。一方、フルマネージド型は、社内にセキュリティ人材がおらず、SOCとCSIRTの役割を委託したい場合に最適です。自社の状況に合わせて、必要なサービスを提供する業者を選びましょう。
サービスの品質は十分か
SOCは企業のビジネスやサービスの根幹となるネットワーク機器やサーバーなどを取り扱うため、外注先であるMDRに十分なサービス品質があるかどうかも確認しなければなりません。しかし、導入前にサービスの品質を判断するのは難しいことがほとんどです。そこで、下記の認定資格を持つ担当者がどのくらい在籍しているのかで判断するのも、1つの目安となります。
- 情報セキュリティサービスに関する認定資格
-
- CEH:認定ホワイトハッカー
- CND:認定ネットワークディフェンダー
また、経済産業省では、情報セキュリティサービス基準を満たす企業を登録する「情報セキュリティサービス審査登録制度」を設けています。一定の基準をクリアした企業は、「情報セキュリティサービス台帳」に掲載されているため、参考にするのも1つの手です。
コストが自社にとって適正か
検討中のMDRが自社に必要なサービスを高い品質で提供していても、コストが自社に合っていなければSOCの外注は難しくなります。SOCの外注は、基本的には長期的な契約になるため、せっかくMDRによって高い水準のセキュリティ体制を構築できても、無理なコストであればその状態を継続できません。短期的な予算だけでなく、中長期的にコストが見合うかを検討し、外注業者を決定することが重要です。
SOC導入時の課題
SOCを導入しても、従業員が社内のセキュリティルールを守らなければ、インシデントは防げません。そこで重要になるのが、全従業員に情報セキュリティの重要性について教育することと、社内ルールを徹底して守ることです。
従業員への教育は、SOC導入前に実施するのはもちろん、年1回や半期に1回など、継続的に実施することが重要です。また情報セキュリティへの意識を高めるために、場合によってはルール違反への罰則も検討しましょう。
- 併せて読みたい
SOCを導入して、多様化するサイバー攻撃に備えよう
日々、多様化・巧妙化するサイバー攻撃に対応するには、自社にSOCを構築すると有効です。しかし自社でSOCを立ち上げるには、監視用の機器やシステムだけでなく、セキュリティ人材の確保が必要となるため、短期間でSOCを導入したい場合には外注も視野に入れることをお勧めします。
もし、「アウトソーシングも高額で自社のコストに合わない」といった場合は、情報漏洩などのセキュリティインシデント対策が可能なシステムの導入を検討してください。
インターコムの「MaLion」シリーズでは、社内で利用する全端末のWebアクセス監視や無線LANアクセス監視などが可能です。またセキュリティポリシーに反する行為を検知すると、情報システム担当者や従業員にアラートを表示するため、早急に対応できます。
SOCの導入と共に情報漏洩対策のツールもお探しの場合は、ぜひお気軽にお問い合わせください。