セキュリティ対策チーム「SOC」とは?意味と役割、CSIRT・MDRとの違い
はじめに
巧妙化し続けるサイバー攻撃により、昨今も情報漏えいや業務停止といったように被害が起こり続けています。企業が滞りなく業務を推進するには情報セキュリティ部門による対策が不可欠です。
しかし高度な知識・スキルを持ったセキュリティ人材が不足する中、充分な体制を整えるのは至難の業となります。セキュリティ部門のひとつであるSOCの構築にあたっては、何がポイントとなるのでしょうか。
この記事では、SOCの主な役割と似た用語の違い、導入のヒントを簡単にご紹介します。
しかし高度な知識・スキルを持ったセキュリティ人材が不足する中、充分な体制を整えるのは至難の業となります。セキュリティ部門のひとつであるSOCの構築にあたっては、何がポイントとなるのでしょうか。
この記事では、SOCの主な役割と似た用語の違い、導入のヒントを簡単にご紹介します。
SOC(セキュリティオペレーションセンター)とは
まずはSOC(ソック/セキュリティオペレーション:Security Operation Center)についてご紹介します。
SOCとは、企業のシステムやネットワークを24時間・365日体制で監視するセキュリティ組織です。SOCでは基本的に、ファイアーウォールやWAF、IPS/IDSといったセキュリティ機器からのアラートやログを24時間監視し、インシデントが起こった場合には対応部署に速やかに報告します。
SOC設置の方法は2つあり、1つは自社内にチームを構える方法、もう1つは外部のSOCサービスに依頼するアウトソーシングです。海外に拠点を持つなどして世界的な規模をもつSOCはGSOC(グローバルセキュリティオペレーションセンター)と呼ばれることがあります。
日本のセキュリティ組織は初期のころから、インシデント対応組織としてSOCや CSIRTが設立されていました。新しい考え方ではありませんが、昨今ではSOCを設置する必要性が着目されています。その理由は、サイバー攻撃の巧妙化や働き方の変化にあります。
独立行政法人 情報処理推進機構(IPA)が発行している「情報セキュリティ10大脅威 2023」によると、組織における「情報セキュリティ 10 大脅威」として上位となっているのが、「ランサムウェアによる被害」や「サプライチェーンの弱点を悪用した攻撃」です。いずれもシステムや体制の脆弱性を突いた攻撃であり、ここ数年では上位にあがっています。
ほかに昨年の圏外から10位に入ったのが「犯罪のビジネス化(アンダーグラウンドサービス)」です。サイバー攻撃がビジネスとして統率されると、専門的な知識がない人でもツールを用いて攻撃ができる可能性が高まることに繋がります。攻撃できる人が増えれば犯罪組織も大きくなり、また攻撃範囲も大規模になっていくことも考えられます。
このような予期せぬサイバー攻撃、大規模なサイバー攻撃に対しては、24時間365日の監視が必要です。その役割を担うのがSOCです。
SOCの概要
SOCとは、企業のシステムやネットワークを24時間・365日体制で監視するセキュリティ組織です。SOCでは基本的に、ファイアーウォールやWAF、IPS/IDSといったセキュリティ機器からのアラートやログを24時間監視し、インシデントが起こった場合には対応部署に速やかに報告します。
SOC設置の方法は2つあり、1つは自社内にチームを構える方法、もう1つは外部のSOCサービスに依頼するアウトソーシングです。海外に拠点を持つなどして世界的な規模をもつSOCはGSOC(グローバルセキュリティオペレーションセンター)と呼ばれることがあります。
SOCの必要性
日本のセキュリティ組織は初期のころから、インシデント対応組織としてSOCや CSIRTが設立されていました。新しい考え方ではありませんが、昨今ではSOCを設置する必要性が着目されています。その理由は、サイバー攻撃の巧妙化や働き方の変化にあります。
独立行政法人 情報処理推進機構(IPA)が発行している「情報セキュリティ10大脅威 2023」によると、組織における「情報セキュリティ 10 大脅威」として上位となっているのが、「ランサムウェアによる被害」や「サプライチェーンの弱点を悪用した攻撃」です。いずれもシステムや体制の脆弱性を突いた攻撃であり、ここ数年では上位にあがっています。
ほかに昨年の圏外から10位に入ったのが「犯罪のビジネス化(アンダーグラウンドサービス)」です。サイバー攻撃がビジネスとして統率されると、専門的な知識がない人でもツールを用いて攻撃ができる可能性が高まることに繋がります。攻撃できる人が増えれば犯罪組織も大きくなり、また攻撃範囲も大規模になっていくことも考えられます。
 | 参考コラム:2022年はどんなセキュリティ事故が起きた?被害事例をご紹介 |
このような予期せぬサイバー攻撃、大規模なサイバー攻撃に対しては、24時間365日の監視が必要です。その役割を担うのがSOCです。
SOCの役割
SOCが担う主な役割についてご紹介します。
24時間365日体制でシステムやネットワークを監視。SIEM(Security Information and Event Management)というツールを利用して、各システムのログを集約します。ログに異常が見つかれば、脅威を特定し、発生の原因を調査することになります。
システムやネットワークの脅威を発見すれば、速やかに関係部署へ報告します。初動対応やその後の対処を行う場合もあります。
定期的に、ペネトレーションテストなどでセキュリティ診断を行います。ほかにソフトウェアのアップデートを行ったり、設定を最適化したりするなど、セキュリティ対策を提案・実施することも役割のひとつです。
SOCのサービスとしては、下記が主な項目となります。
・24時間365日のサービス稼働・障害の監視や通知
・専門家による分析
・不正な通信や攻撃パターンを判別するためのシグネチャを更新
・ヘルプデスク
ほか
SOCの料金については、サービスによって「月額20万円から」などと明示しているケース、個別見積もりとなるケースがあります。
システムやネットワークの監視・分析
24時間365日体制でシステムやネットワークを監視。SIEM(Security Information and Event Management)というツールを利用して、各システムのログを集約します。ログに異常が見つかれば、脅威を特定し、発生の原因を調査することになります。
関係部署への報告
システムやネットワークの脅威を発見すれば、速やかに関係部署へ報告します。初動対応やその後の対処を行う場合もあります。
セキュリティ診断
定期的に、ペネトレーションテストなどでセキュリティ診断を行います。ほかにソフトウェアのアップデートを行ったり、設定を最適化したりするなど、セキュリティ対策を提案・実施することも役割のひとつです。
参考:SOCサービス例や費用
SOCのサービスとしては、下記が主な項目となります。
・24時間365日のサービス稼働・障害の監視や通知
・専門家による分析
・不正な通信や攻撃パターンを判別するためのシグネチャを更新
・ヘルプデスク
ほか
SOCの料金については、サービスによって「月額20万円から」などと明示しているケース、個別見積もりとなるケースがあります。
SOCとCSIRT・MDR・NOCとの違い
セキュリティ組織に関する用語はSOCのほかに、CSIRTやMDRなどがあります。それぞれの用語とSOCとの違いをご紹介します。
CSIRT(シーサート:Computer Security Incident Response Team)は、インシデント発生後の対処を行うチームです。SOCはインシデントの発生を検知するとCSIRTに連絡し、CSIRTの指示でSOCがデータの解析やログの分析を行います。
MDR (Managed Detection and Response)は、SOCとCSIRTの機能を合わせ持つ、組織外のサイバーセキュリティチームのことです。MDRを利用すれば、組織内にSOCを設置せずに済みます。
NOC(Network Operations Center)は、ネットワークの安全性やパフォーマンスを常時監視する組織です。システムやネットワーク全体を監視するSOCに対し、NOCはネットワークのみを監視します。
SOC・CSIRTは規模やレベルによって対応範囲が異なる場合があります。
CSIRTが指令・インシデント対応、SOCがインシデント監視というのが基本的な役割分担です。しかしCSIRTが簡単な分析を行ったり、SOCがインシデント対応の支援を行ったりするなどのパターンもあります。SOCサービスを検討する際には、サービス範囲を確認しておくのが良いでしょう。
SOCとCSIRTの違い
CSIRT(シーサート:Computer Security Incident Response Team)は、インシデント発生後の対処を行うチームです。SOCはインシデントの発生を検知するとCSIRTに連絡し、CSIRTの指示でSOCがデータの解析やログの分析を行います。
SOCとMDRの違い
MDR (Managed Detection and Response)は、SOCとCSIRTの機能を合わせ持つ、組織外のサイバーセキュリティチームのことです。MDRを利用すれば、組織内にSOCを設置せずに済みます。
SOCとNOCの違い
NOC(Network Operations Center)は、ネットワークの安全性やパフォーマンスを常時監視する組織です。システムやネットワーク全体を監視するSOCに対し、NOCはネットワークのみを監視します。
サービスによって線引きは曖昧
SOC・CSIRTは規模やレベルによって対応範囲が異なる場合があります。
CSIRTが指令・インシデント対応、SOCがインシデント監視というのが基本的な役割分担です。しかしCSIRTが簡単な分析を行ったり、SOCがインシデント対応の支援を行ったりするなどのパターンもあります。SOCサービスを検討する際には、サービス範囲を確認しておくのが良いでしょう。
SOC導入のポイント
SOC導入のポイントをいくつかご紹介します。
CSIRTやSOCが何を目的としている組織なのか、対象となる範囲はどこまでかを明確に示す必要があります。このため企業の事情によって、責任範囲を決めることが必要です。
またグループ会社やサプライチェーン、取引先など複数のSOCが関係する場合には、それぞれ速やかな対処のための指示系統を整えることになります。
SOCには、情報セキュリティの知識が豊富な専門家が所属することになります。導入したシステムやツールが優れていても、利用する人に知識がなければなりません。
しかし昨今ではセキュリティ人材の不足が課題となって久しくなっています。自社SOCでセキュリティ人材をアサインできない場合には、アウトソーシングをするのも手です。
監視対象・責任範囲の設定
CSIRTやSOCが何を目的としている組織なのか、対象となる範囲はどこまでかを明確に示す必要があります。このため企業の事情によって、責任範囲を決めることが必要です。
またグループ会社やサプライチェーン、取引先など複数のSOCが関係する場合には、それぞれ速やかな対処のための指示系統を整えることになります。
人材の確保
SOCには、情報セキュリティの知識が豊富な専門家が所属することになります。導入したシステムやツールが優れていても、利用する人に知識がなければなりません。
しかし昨今ではセキュリティ人材の不足が課題となって久しくなっています。自社SOCでセキュリティ人材をアサインできない場合には、アウトソーシングをするのも手です。
SOCのアウトソーシングを検討するなら
アクセリアが提供しているCDNサービスSolution CDNには、セキュリティアナリストによるWAFの導入と運用をサポートするマネージドSOCサービスメニューのオプションがあります。
Cloudflare WAF マネージドSOCサービス【Solution CDN】サービスページ
Solution CDNは、1日平均1240億件の脅威をブロックするCloudflare(クラウドフレア)を用いたソリューションです。
マネージドSOCでは、24時間365日、高度な知識と経験を持つ専門のセキュリティアナリストがお客様のネットワークを監視し、脅威を見える化。誤検知の排除により、本当に必要なアラートのみを通知します。お客様環境に最適なポリシーを設定/維持することで、クラウドフレアWAFの機能を最大限に活用します。
詳しくは下記をご参照ください。
Solution CDNサービスページ
Cloudflare WAF マネージドSOCサービス【Solution CDN】サービスページ
Solution CDNは、1日平均1240億件の脅威をブロックするCloudflare(クラウドフレア)を用いたソリューションです。
マネージドSOCでは、24時間365日、高度な知識と経験を持つ専門のセキュリティアナリストがお客様のネットワークを監視し、脅威を見える化。誤検知の排除により、本当に必要なアラートのみを通知します。お客様環境に最適なポリシーを設定/維持することで、クラウドフレアWAFの機能を最大限に活用します。
詳しくは下記をご参照ください。
Solution CDNサービスページ
まとめ
SOCについて簡単にご紹介しました。優秀なセキュリティ人材を集めるのは容易ではないため、SOCを自社内で運用するのが難しいケースは多々あります。ぜひSOCサービスを複数見比べ、検討してみてください。
アクセリア株式会社
サービス事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service