サイバー攻撃が巧妙化する中、既存のセキュリティソフトウェアだけでは対策が困難な攻撃も増加しています。セキュリティ対策が重要視される中、サイバー攻撃に素早く気づき、対応を行う組織としてSOCが必要とされています。SOCを構築することで、セキュリティ対策の強化をはじめとしたメリットを企業は得られるでしょう。
この記事では、SOCが必要とされる理由や主な業務内容、SOCを構築するメリット、社内および外注でのSOC構築方法について解説します。
目次
セキュリティにおけるSOCとは?
SOCが必要とされている理由
- 企業のIT活用が多様化している
- 巧妙で多種多様なサイバー攻撃を受ける恐れがある
SOCの業務内容
- セキュリティの監視と診断
- セキュリティインシデントへの対応
- セキュリティソフトウェアのメンテナンス
SOCを構築するメリット
- セキュリティ対策を強化できる
- 業務を効率化できる
- 顧客の信頼を獲得できる
SOCとCSIRTの違い
- SOCとCSIRTの連携が重要
自社でSOCを構築する方法
- セキュリティ人材の確保
- SOC業務の定義と明確化
- 自社のセキュリティ環境の理解
- インシデント対応手順のルール化
SOCはアウトソーシングするのもおすすめ
- 自社で人材を確保しなくてよい
- 導入直後から高度なSOC業務が行える
- 24時間365日の監視を受けられる
まとめ
1.セキュリティにおけるSOCとは?
SOCは、企業のネットワークやデバイスを監視して、セキュリティ危機から守るための専門組織のことです。社内にチームを設置するか、もしくは専門企業のサービスを活用して組織されます。
SOCは「Security Operation Center」の略称で、頭文字をとってソックと呼ばれる場合もあります。
製品リリースやサービス提供、社内業務など、多くの場面でデジタルツールが活用されている現代において、SOCの必要性は高まっています。
2.SOCが必要とされている理由
サイバー攻撃など、企業は多くの危険にさらされています。サイバー攻撃への一般的な対策が、セキュリティソフトの導入です。一方で近年は、単純にセキュリティソフトを導入するだけでなく、SOCの活用が注目を集めています。
企業のセキュリティ対策としてSOCが必要とされている理由を2つ紹介します。
2-1.企業のIT活用が多様化している
働き方およびIT活用の方法が多様化している現代において、社内ネットワーク以外も効率的に監視するためにSOCが必要です。
国によるDX推進やユーザーニーズの細分化も影響して、多くの企業でITが活用されています。IT活用は、業務効率化をはじめ多くのメリットをもたらす一方で、セキュリティに関する課題が生じます。
また、テレワーク導入による働き方の多様化も、近年セキュリティ関連の課題を複雑化している要素の1つです。社内ネットワークにさまざまなデバイスからアクセスできるようになり、従来のようなオンプレミスでの利用が困難となりました。
セキュリティ対策として、会社支給の端末による接続のみを許可している企業も多いのではないでしょうか。しかし、社外で業務を行う場合でも、従業員が誤って個人の端末を利用することは監視なしでは防げません。
SOCの導入によって、社内外のネットワークをリアルタイムに監視できるようになり、多様化したIT活用に合わせたセキュリティ対策を行えます。
2-2.巧妙で多種多様なサイバー攻撃を受ける恐れがある
さまざまな手法や経路からの攻撃に備えられるように、SOCが求められています。
近年は、サイバー攻撃の手法も多様化・巧妙化しています。業務メールに偽装されたウィルスメールやフィッシングサイト、トロイの木馬・ランサムウェアなど、さまざまなサイバー攻撃への対策が必要です。
サイバー攻撃は、マルウェア感染への対策のみでは防げません。攻撃を即座に検知・通知したり対応したりできるセキュリティ監視体制を構築しなくては、巧妙で多様化したサイバー攻撃の被害リスクを軽減することは困難です。
3.SOCの業務内容
SOCが担う業務は、企業のセキュリティに対する攻撃の発見と対処を目的としています。
サイバー攻撃は、個人情報漏えいを招くこともあるため、二次的な被害が発生する恐れがあります。また、攻撃内容や対象によっては、自社の新製品に関する企画や設計図などの機密情報を奪われかねません。損害を防ぐために、SOCはさまざまな業務によって社内ネットワークを守っています。
SOCの代表的な業務内容を、3つに分けて解説します。
3-1.セキュリティの監視と診断
SOCの代表的な業務は、社内ネットワークやサーバーに関するセキュリティの、24時間体制での監視と診断です。たとえば、従業員が使用している端末のセキュリティソフトが脅威にさらされたとき、検知したり担当者へ通知したりします。
検知対象はスパムメールの着信や、詐欺広告などの不審なURLへのアクセス、サーバーに対する外部からの攻撃などさまざまです。
3-2.セキュリティインシデントへの対応
外部からの攻撃など、監視するネットワークやサーバー上でなんらかのインシデントが発生したとき、SOCは調査を行います。
主な調査は、サーバーや端末の他、IPSなど各種ネットワーク関連機器のログを確認することです。通信やプロセスに不正はないか、異常な使われ方をしている部分はないか、怪しいレジストリ情報の書き込みはないかなど、多角的な視点から調査します。
異常が発見されたときは、経路や手法、影響範囲の調査を行い、被害拡大を防止します。解決したと思っても、後に想定外の感染拡大が起こっている場合があるため、対応後の調査も必要です。
3-3.セキュリティソフトウェアのメンテナンス
使用しているセキュリティソフトウェアのメンテナンスもSOCの業務です。サイバー攻撃および脆弱性に関する情報は常に更新されており、こまめな対応が欠かせません。
被害のリスクを軽減するためには、取得した新たな脅威情報にもとづいた、セキュリティソフトウェアのメンテナンスが重要です。
既存のセキュリティソフトウェアをメンテナンスするのみならず、新たな製品やサービスがリリースされたときに性能や品質の調査も行います。調査結果や監視状況によっては、新たな製品やサービスの導入も検討・提案することがあります。
4.SOCを構築するメリット
現在は企業規模や業種を問わず、サイバーセキュリティが重視される時代です。SOCを構築することで、さまざまなメリットを得られます。期待できるメリットの中には、セキュリティ以外の分野へ間接的に影響するものも含まれます。
SOCの構築によって期待できる主なメリットは、3つです。
4-1.セキュリティ対策を強化できる
SOCがリアルタイムでの監視・対応を行う体制を築くことで、セキュリティ対策を強化できます。サイバー攻撃が多様化するとともに個人・企業の違いに関係なくリスクが高まっている現在、セキュリティ対策の高精度化は急務です。
セキュリティソフトウェアの導入のみでは、巧妙化しつつあるサイバー攻撃に対処しきれるとは限りません。セキュリティのリアルタイムの監視や対応により、セキュリティソフトウェアの裏をかく高度なサイバー攻撃にも対応できるようになります。
4-2.業務を効率化できる
SOCを構築した場合、他部門の従業員は自分自身の業務に専念でき、SOCもネットワークやサーバーの監視に集中できます。
SOCを構築していない企業の場合、セキュリティ関連の業務は一部の従業員が兼務します。セキュリティを任された従業員は、本来の業務にあてるべき時間を割かなくてはなりません。
なんらかのインシデントが生じれば、原因究明や感染拡大防止への注力が求められます。本来の業務は進まず、同じ部門やチームのメンバーに影響を及ぼします。
また、一部の人間ではなく、従業員それぞれに使用する端末へのセキュリティソフトウェア導入や管理を任せる場合も、注意が必要です。個人での管理に任せると、端末ごとにセキュリティソフトウェアの種類やバージョンに違いが生じかねません。
SOCに管理を一任すれば「一部の端末のみ古いソフトウェアを継続使用している」などの問題も防げ、効率的にセキュリティを監視できます。
4-3.顧客の信頼を獲得できる
SOCの構築は、団体・個人問わず、顧客からの信頼を獲得できる施策です。
近年はセキュリティ管理の甘さが原因の個人情報漏えい問題も複数生じており、企業はますます顧客の個人情報を適切に管理することが求められています。SOC構築は自社の機密情報とともに顧客の大切な個人情報を守る取り組みとして、企業イメージに良い影響を与えます。
5.SOCとCSIRTの違い
セキュリティ対策を担う組織として、SOCの他にCSIRTがあります。CSIRTとは「Computer Security Incident Response Team」のことで、SOCと同じくインシデントに対応する組織です。SOCとCSIRTの違いは、インシデントに対する姿勢にあります。
SOCは24時間365日体制の監視により、インシデントの発生を検知することが主な目的です。一方でCSIRTは、インシデントの発生後、システム停止や復旧などの対応を主に行います。
5-1.SOCとCSIRTの連携が重要
自社のセキュリティ対策を強化するために、いずれか一方のみを構築するのではなく、SOCとCSIRTを連携させることが重要です。
SOCとCSIRTはそれぞれが役割を分担しており、互いに協力し合うことで企業をあらゆるサイバー攻撃から守っています。SOCはインシデントの発生前に関する対策に重きを置いており、CSIRTは発生後の対応を主としています。
インシデントをいち早く検知するためには、SOCの常時監視する体制が必要です。発生したインシデントに適切に対処したり、影響拡大を防止したりするときは、CSIRTの情報や技術が役立ちます。
6.自社でSOCを構築する方法
専門知識を有する人材を雇えば、SOCを自社内で構築できます。SOCを構築してセキュリティ関連業務の内製化が実現できた場合、得られるメリットは下記の2つです。
・自社に合わせたカスタマイズができる
自社内に監視装置や専門チームを設置するため、事業内容や業務フローを考慮したカスタマイズができます。自社に合った高度な監視体制を構築でき、インシデントの発生に対する検知・対応のスピードアップにつながります。
・機密を確保しやすい
内製化による最大のメリットは、SOCに関するデータも自社内でのみ保管できることです。機密を確保しやすく、ノウハウも蓄積できるため、長期的な運用がしやすくなります。情報漏えい対策をしつつ、自社で人材育成したい企業に向いています。
上記のメリットを重視する場合は、自社内でSOC構築を検討してみましょう。自社内でSOCを構築するときの手順を、3つのステップに分けて解説します。
6-1.セキュリティ人材の確保
自社内にSOCを構築するために、まず取り組むべきことが、セキュリティ人材の確保です。SOCはインシデントの検知のみならず、データの分析や原因究明などの調査、場合によっては感染拡大の防止対応も行います。
迅速な対応が求められるSOCでは、高度な専門知識をもつ人材が欠かせません。社内SOCの構築が決定したら、可能な限り早く人材確保へ取り組みましょう。
ただし、サイバーセキュリティの専門家を教育する非営利団体「(ISC)2」の調査では、日本におけるセキュリティ人材は、2022年時点で約5万6,000人不足しています。
出典:(ISC)2「2022CybersecurityWorkforceStudy」
セキュリティ人材の需要が供給を上回る中で、自社内でSOCを構築するためには、多くの競合企業に先立ってセキュリティ人材を確保する必要があります。
6-2.SOC業務の定義と明確化
セキュリティ人材の確保に目途が立ったら、次はSOC業務で監視する範囲を定義付けましょう。SOCと一口にいっても、監視する対象は企業ごとに異なります。セキュリティソフトウェアのログ監視や解析を中心に行う場合もあれば、サーバーやOSを対象とすることもあります。
監視する範囲が明確でなければ、インシデントが発生したときの対応に遅れや混乱が生じかねません。社内の各部門と相談して、あらかじめSOCで担当する範囲を明確化しましょう。
6-3.自社のセキュリティ環境の理解
SOCが担当する範囲や予算をもとに、どのようなツールを導入するか検討します。ネットワークやサーバー上のデータを安全に守るためには、監視システムなどのツールが必要です。
各従業員の端末やWeb閲覧履歴、メールの送受信履歴など、監視すべき点は複数あげられます。SOCの目的や操作性も考慮して、自社に適したツールを導入しましょう。継続的に運用できるように、SOCのチームメンバー全員にとって使い勝手が良く、ノウハウを引き継ぎやすいツールを選ぶことも重要です。
6-4.インシデント対応手順のルール化
人材確保やツールの選定が終わったら、本格的にSOCを構築・運用するためのルール作りも必要です。たとえばインシデント発生時の対応手順が定められていなければ、担当者ごとに業務内容やスピードに差が出てしまいます。
効率的にセキュリティ対策を行うためには、対応手順をルール化して、全員に浸透させることが重要です。
また、インシデントを定義することも、業務効率を向上させるポイントです。インシデントか否かの認識が担当者ごとに異なれば、「報告が遅い」「対応できていない」などの問題に発展します。
あらかじめインシデントを定義しておくことで、共通の認識のもと対応できるようになります。
7.SOCはアウトソーシングするのもおすすめ
社内でSOCを構築することは容易ではありません。コストや工数など、多くの課題があげられます。課題を避けつつ、時間をかけずSOCを構築する方法として、アウトソーシングもおすすめです。SOCを専門とする企業は多く、自社に合ったサービスが手軽に見つかります。
SOCをアウトソーシングすることは、MSS(Managed Security Service)の呼び名で知られています。社内でのSOC構築が困難な場合は、MSSを検討するのも手段の1つです。
SOCのアウトソーシングには、3つのメリットがあります。
7-1.自社で人材を確保しなくてよい
自社でセキュリティ人材の募集から始める場合、セキュリティ人材を満足に集められないリスクがあります。
SOCをアウトソーシングすると、すでにセキュリティ人材が在籍している企業へ依頼できます。自社で改めて募集せずに済むため、採用活動の手間はもちろん、運用リソースもかかりません。
すでに専門性の高いチームが完成しており、迅速にSOCの構築へ着手できる点もメリットです。外部サービスを契約すれば、最短でのセキュリティ強化が実現します。
7-2.導入直後から高度なSOC業務が行える
SOCに関する知識や技術が豊富なプロに依頼できれば、導入直後から高度なSOC業務が行えます。
自社でSOCの構築から始める場合、ノウハウのない状態から取り組まなくてはなりません。SOC業務経験のあるセキュリティ人材を確保できても、初日から他のメンバーとともに高度なSOC業務を行うことは困難です。
セキュリティ機器の購入など、人材以外の準備も必要です。また、採用した人材が慣れ親しんだ前職でのルールやナレッジが、自社とマッチするとは限りません。
SOCをアウトソーシングした場合、セキュリティのプロによる高度なSOC業務が提供されるため、安心してセキュリティ対策ができます。
7-3.24時間365日の監視を受けられる
SOC専門企業は、常時セキュリティインシデントに対応できるよう、環境を整備しています。一方、自社でSOC業務を24時間365日行う場合、労働条件や設備の導入など環境整備が必要です。自社の負担を抑えつつ、高度なセキュリティ対策を導入したい場合は、監視サービスのアウトソーシングも検討しましょう。
セキュリティ強度をレベルアップさせるためには、インシデントが発生した後の対応スピードも重視した環境整備が必要です。24時間365日の監視を受けられるアウトソーシングなら、インシデントをリアルタイムで検知後、即座に対応できます。
まとめ
SOCは「Security Operation Center」の略称で、企業のネットワークやデバイスを監視して、セキュリティ危機から守るための専門組織のことです。企業のIT活動の多様化やサイバー攻撃の高度化などの理由で、リアルタイムの監視が行えるSOCの重要性は高まっています。ただし、セキュリティ人材の需要が供給以上に高まっている現在では、自社内でSOCを構築することは容易ではありません。
メンロ・セキュリティのIsolation Security Operations Centerはユーザーの生産性に影響せず、脅威から企業を守ります。セキュリティ人材の不足に悩んでいる、SOC構築で困っている方は、メンロ・セキュリティにご相談ください。
