皆さんの会社にはサイバー攻撃の検出や分析を行う専門の部署はありますでしょうか?
昨今のセキュリティ事故は金額だけでなく社会的信用という面でも大きな被害を及ぼします。
そのための対策としてセキュリティ対策専門の部署を置くことが望ましいでしょう。
その組織のことをSOC(セキュリティオペレーションセンター)と言います。
この記事ではSOC(セキュリティオペレーションセンター)の概要や構築方法などを詳しく解説していきます。
また、貴社のセキュリティの現状と取るべき対策を客観的に把握できるチェックリストをご用意しています。ぜひ無料でダウンロードしてご活用ください。
SOCとは
SOC(ソック)とは「Security Operation Center」の略称です。
ネットワークやサーバー・デバイスを24時間365日監視し、サイバー攻撃の検出・分析や対応策の検討を行います。
いわば、セキュリティに関するアナリスト・エンジニア的な役回りです。
ちなみに、各種ログやサイバー攻撃のデータをとるのには、しばしばSIEM(Security Information and Event Management)が使用されます。
SIEMで出たアラートをSOCは調査・分析し報告、報告を受けたCSIRT(Computer Security Incident Response Team)が対応に当たります。
つまり、SOCはセキュリティの監視役を担っているということです。
CSIRTについては「インシデント発生で頼りになる|CSIRTの概要と構築ポイント」で詳しく解説していますので、あわせてお読みください。
SOCとCSIRT、MDRの違い
SOCと同じような組織・言葉として、CSIRT(Computer Security Incident Response Team)や MDR(Managed Detection and Response)があります。
CSIRTとは「シーサート」と読み、セキュリティインシデントに対応するための専門的なチームのことです。
SOCはセキュリティ監視を行っている拠点であることに対し、CSIRTは、実際にセキュリティインシデントが発生したときに対応を実行を行う部署であるという違いがあります。
SOCもCSIRTもサイバー攻撃を防ぐという点ではどちらも重要な組織であり、優劣関係はありません。
また、MDRとはSOCやCSIRTの役割を自社に代わって代行するサービスやベンダーのことです。
高度化するサイバー攻撃に対して、それらに対応できるようなセキュリティ人材の確保が困難である企業と契約して、サイバーセキュリティ対策を代行することを目的としています。
企業にとってMDRは力強い味方ですが、頼りきりになることで自社のセキュリティ人材の育成が疎かになるなどのデメリットもあります。
MDRを導入する時は、高度なセキュリティ対策を任せつつ、自社のセキュリティ部門の自走化も並行して進めるとよいでしょう。
SOCが必要とされている理由とは
近年、大量の高度なセキュリティ攻撃が頻発し、複雑なセキュリティ製品・サービスの出現、一般的になったクラウドシステムのセキュリティの脆弱性が問題視されています。
それでは、SOCが必要とされている理由について詳しく見ていきましょう。
大量の高度なセキュリティ攻撃
2017年にはWannaCry(ワナクライ)というランサムウェアが話題になりました。
WannaCryは24時間で150か国、23万台以上のコンピューターを強制ロック、ファイルを暗号化し、その解除と引き換えに仮想通過を要求しました。
また2023年の国立研究開発法人情報通信研究機構の「NICTER 観測レポート 2022」によると、2022年に観測されたサイバー攻撃関連通信は、約5,226億パケットとなっています。
2017年には約1,559億パケットだったためかなりの増加ですね。
さらにIPAの「情報セキュリティ10大脅威2023」でも、ランサムウェアによる被害は組織編1位に上げられています。
その他には、標的型攻撃による機密情報の窃取・サプライチェーンの弱点を悪用した攻撃などが挙げられました。
複雑なセキュリティ製品・サービス
セキュリティ攻撃が高度になるにつれて、セキュリティ製品やサービスも複雑になってきています。
そんな中、セキュリティ分野において専門的な知識・スキルを持ったスタッフの需要が高まってきていますが、日本はセキュリティ分野に詳しいスタッフが少なく深刻な人材不足です。
ちなみに、総務省の資料によると、SOCのスタッフを育成する場合、一概には言えませんが一人当たり育成費用で約40万円、スキル維持で20万円/5年、その他高額な年間賃金などなど、かなりコストが嵩みます。
一般的になったクラウドシステム
クラウドシステムはアカウントのIDとパスワードさえ分かればログインできてしまいます。
つまり、複数の端末からクラウドにアクセスできるため便利ですが、その一方で不正アクセスのリスクも増します。
クラウドシステムは初心者でも簡単に使えますが、セキュリティが脆弱で情報漏洩やその他のセキュリティリスクをはらんでいるので、使用する場合はセキュリティ部門を立て、万全に対策しましょう。
SOCが実施する業務例
SOCは24時間365日セキュリティ監視をしています。
その他にも以下のような業務も管轄です。
- セキュリティ診断
- インシデント対応
- セキュリティ運用の自動化
- 問い合わせ窓口対応
- ログ解析/監視
- シグネチャの適用
それでは、SOCが実施する業務例について詳しく説明していきます。この辺りは組織によっても変わってきますので、目安としてお読みください。
セキュリティ診断
SOCはセキュリティ診断を行います。
例えばサイバー攻撃が起こった時の対策案を見て、リスクマネジメントや対策案の不足箇所を指摘。
もし対策後にリスクが残るならそこについても説明します。
インシデント対応
SOCは事象(インシデント)対応を行います。
SOCはSIEMから出たアラートを調査、CSIRTに報告するだけではなく、サービス利用者に対し定期的な監視レポートを提出、インシデントが発生した際に直ぐ報告します。
セキュリティ運用の自動化
セキュリティ運用の自動化にはそれ専門の体制づくりが必要となります。
セキュリティ運用自動化のための技術・ソリューションのことをSOAR(Security Orchestration, Automation and Response)と言います。
組織内のセキュリティ機器と外部のセキュリティサービスを連携することにより、インシデント対処の自動化・インシデント管理・脅威学習を可能にしたものです。
例えば、サイバー攻撃によってシステムからアラートが出た場合、自動的にインシデント対処を行います。SOARはセキュリティ運用の自動化・効率化を実現する技術と言えます。
問い合わせ窓口対応
問い合わせ窓口は「ヘルプデスク」とも言われ、エンドユーザーからの問い合わせに対応しています。
また、問い合わせに対して適切に回答する為に、最新の情報を収集する必要があります。
ログ解析・監視
昔はサイバー攻撃・IPS/IDS・Firewall・サーバーのログをSOC要員が解析・監視していましたが、近年はセキュリティ攻撃が高度化しているので、SIEMといったシステムがログ解析・監視を行っています。
ログを解析・監視することで、ネットワーク内の不審な行動を即座に検知し、事前にインシデント・障害を防止できます。
シグネチャの適用
セキュリティ分野におけるシグネチャとは、マルウェアやウィルスに共通する一続きのバイト(バイトシーケンス)のことです。マルウェアを特定・判別するために用いられます。
近年はマルウェアやウィルスが複雑化していて、シグネチャが検知できなくなってきています。
そこで、SOCはAI(人工知能)を使ってカスタムシグネチャを作成し、シグネチャを検知しています。
SOCのタイプは大きく分けて2種類
SOCには大きく分けて、自社SOCとMSSの2種類があります。
自社SOC
自社SOCは、文字通りSOCを自社運用する方法です。
莫大なコストやSOC要員の調達、構築の労力をクリアできれば、自社に応じたカスタマイズが可能で高度な監視を行うことができます。
また、自社運用なので機密性が確保しやすいのが特徴です。
このような自社組織内で構築されたSOCのことを「Private SOC」と呼び、アウトソースされたSOCと区別することもあります。
MSS
MSSは「Managed Security Service」の略称で、SOCの役割を専門業者に外注する方法です。
自社に応じたカスタマイズや現状把握が難しく、そこを妥協できれば、テンプレートを用いて短期・安価導入が可能になります。
一般的にMSSを選択する企業が多いのが現状です。
SOCを自社で構築・運用するのが難しい理由
SOCを自社運用・構築する為には、要員の確保や育成・SOCの運用を考える必要があります。
一般的な民間企業や組織にとって、SOCを自社で構築・運用するためには、様々な課題を解決しなければなりません。
要員の確保や育成が困難
SOC要員を確保する為には、セキュリティの知識はもちろんのこと、スキル、ログ解析など高度な技術を持った人材を探す必要があります。
運良く要員が確保できても、育成・スキル維持、賃金、その他さまざまなコストがかかると言われていてとても非現実的です。
金銭的なコストに加えて、教育には膨大な時間も必要です。
高度化を続けるサイバー攻撃に対応するには、教育も継続的に実施する必要があるため、企業や組織にとっては、大きな負担を強いられます。
なかなか経営層の理解も得辛いかもしれません。
運用に相当の手間を必要とする
SOCを運用する為には、24時間365日の監視が必要になります。最低3交代制でローテーションを組む必要があり、人件費がかかります。
また日々、セキュリティ攻撃が高度化しているので、最新の情報を取り入れつつ、高度なセキュリティ攻撃を想定して監視しなければなりません。
実際にセキュリティ攻撃が発生した場合、それらに対する対応も必要となり、これも大きな負担と言えるでしょう。
SOC運用は専門業者への外注がおすすめ
一からSOCを自社運用するのは、セキュリティ分野に特化した人材の確保・育成、SOC運用の手間の面から難易度が高くなります。
そこで、SOC運用は専門業者に外注するのがおすすめです。
- 専門業者を選ぶ際のポイント
-
- 24時間365日の監視は当たり前
- 自社に合ったカスタムシグネチャを作成できるか
- インシデント発生時15分以内に報告、30分以内に分析できるか
- システムダウンを想定してバックアップ機器を配置しているか
- 対応可能なセキュリティディバイスの種類・月次レポートが自動出力できる
また、一般的に専門業者は契約企業に対して守秘義務があります。契約企業名が公開されている業者は注意してください。
サイバー攻撃を防ぐ為には、SOCサービスも一つの手段ですので、ぜひご検討ください。
また、そうした情報セキュリティ対策の第一歩として、セキュリティチェッシートで貴社のセキュリティ状況を可視化しましょう。
まとめ
サイバー攻撃の手法は多様化しており、多くの企業が被害にあっています。
特に中小企業にとっては、一度のサイバー攻撃によって取引先や顧客からの信頼を失い、金銭的に大きな負担になることもありえるでしょう。
SOCはそのようなサイバー攻撃を日夜監視する重要な部署ですが、自社で構築・運用するのは難しいものです。
SOCの導入・運用には、メリットとコストを十分に考慮したうえで、専門業者への依頼も検討することをおすすめします。
