Written by 田村 彩乃
ITコンサルタントとして7年間システム提案に携わった後、フリーライターとして独立。IT、マーケティングに関するコラムを中心として、人材、ECなどにまつわる記事をWebをはじめとした多くのメディアで執筆。
目次
「SOC(Security Operation Center)」とは、24時間365日体制でネットワークの監視を行い、リアルタイムで脅威を検知・対処する役割を担う、サイバーセキュリティの専門組織・部門です。「ソック」と読みます。
不審な通信や挙動をいち早く検知し、アラートを発することで、インシデントの予防と早期発見、そしてインシデント発生時の速やかな対応が、SOCの主な仕事です。自社でSOCチームを構築する場合もあれば、外部パートナーへ委託するケースもあります。
またSOCとしばしば比較される役割として、「CSIRT(シーサート)」がありますが、SOCが「インシデントの予防と早期発見」を目的とするのに対し、CSIRTは「インシデント発生時の対応と再発防止」を目的とする点で、違いがあります。
▼SOC・CSIRTの違い
| SOC | CSIRT | |
|---|---|---|
| 焦点 | 組織を継続的に監視し、セキュリティ脅威を リアルタイムで検出して対処 |
セキュリティインシデントが発生した際の 詳細な対応、調査、復旧活動 |
| 目的 | ・インシデントの予防と早期発見 ・インシデント発生時の迅速な対応 |
・インシデント発生時、被害を最小限に抑えるための対応 ・再発防止 |
| 運用 | 監視とオペレーション | インシデント発生時、集中的に対応 |
本記事では、いま需要が高まり続けている「SOC」「SOCサービス」に関して、主な仕事やニーズが増加する背景・失敗しないSOCサービスの選び方などを、わかりやすく解説します。
▼本記事のまとめ
・SOCとは、24時間365日体制でシステムやネットワークを監視し、検知・分析を担うセキュリティ組織
・検知した異常を分析し、組織にどのような影響を与えるかを明らかにして、アラートを発するのが主な役割
・SOCとCSIRTとの違いは、前者が監視・検知・分析がメインなのに対し、CSIRTはインシデント対応や復旧、再発防止を担う
・「自社構築」のメリットとして、長期的なコストの削減とノウハウの補完が、「アウトソーシング」には自社にセキュリティ人材やノウハウが無くても、専門的な組織を構築できるというメリットがある
SOC(Security Operation Center)とは
SOCとは、Security Operation Center(セキュリティオペレーションセンター)の略称であり、セキュリティの強化といち早いインシデント対応を目的として、24時間365日体制でネットワークを監視し、検知・分析を担う組織を指します。
SOCにはセキュリティの専門知識を持ったスペシャリストが常駐し、リアルタイムでサイバー攻撃の検知・分析・報告を行います。
具体的な業務内容としては
・セキュリティ装置・運用中のサーバー・ネットワーク機器のログ監視
・サイバー攻撃に遭ったときの被害範囲の特定・原因の調査分析
・サイバー攻撃を未然に防止するためのセキュリティ対策の策定
など、企業や組織の安全を保持するための役割を担っています。
本来であれば、情報システム部門とは別に、セキュリティの専門組織として社内にSOCを立ち上げるのが理想的でしょう。しかし、現実的にはリソース不足の観点から、SOCとして独立した組織を確保するのが、困難な企業・組織が少なくないのが現状です。
そのため近年では「SOCサービス」として、外部に自組織のセキュリティ監視や運用を依頼するケースが増加しています。
SOCの対応の流れ・監視範囲
SOCでは、監視対象となるセキュリティ装置やサーバー・ネットワーク機器のログを、EDRやNDRといったセキュリティツールを使用し24時間365日体制で監視します。
SOCの監視体制が24時間365日である理由は、サイバー攻撃は昼夜問わず行われる可能性があり、いつセキュリティインシデントが発生しても即時で検知・対処を行うためです。
SOCの「インシデント対応」の流れは以下の通りです。
1.EDR等、セキュリティツールが異常を検知
2.SOCにアラートが通知
3.SOCで検知した異常の内容を分析(必要に応じユーザーに連絡)
4.どういった影響があるか・影響範囲を特定
5.重要なインシデントであれば、CSIRT(後述)など他組織へ報告・連携
6.脅威の隔離や駆除・再発防止策の実施
SOCの監視範囲は、パソコンやスマートフォンなどのクライアント端末のほか、サーバーや組織内外のネットワークに至るまで、多岐にわたります。またSOCがどのような監視体制を構築するのかは、組織形態や依頼先のベンダーなどによっても異なります。
なぜSOCが重要視されるのか(背景)
企業・組織が強固なセキュリティ体制を構築する上で、優れたSOCの設置・あるいはSOCサービスの導入は、現代において欠かせない課題と言えます。
というのもサイバー攻撃の高度化・多様化が進む昨今では、従来のようにネットワーク管理者や情報システム部門が兼任でセキュリティ部門を担当するのではなく、セキュリティ分野に特化した人材・組織の導入が必要不可欠であるためです。
SOCサービスの近年の市場動向
2023年現時点で、外部に社内のセキュリティ監視や対策を依頼する「SOCサービス」の需要は増加傾向にあります。
株式会社グローバルインフォメーションが発表した市場調査レポートによると、世界のSOCサービス(SOC as a Service) の市場規模は、2022年の61億米ドルから、2027年には約1.65倍の101億米ドルへと成長すると予測されています。
※CAGR(年平均成長率)は10.5%
また、株式会社アイ・ティ・アールの発表した「マネージドEDR(SOCがEDRの監視・分析の代行を務める)サービス」の市場調査によると、その規模は2025年度に186億円へ達すると予測されています。
これは2019年度の39億円からおよそ約4.7倍に増加しており、2020~2025年度のマネージドEDRサービス市場のCAGR(年平均成長率)は22.4%にのぼると見込まれています。
図.マネージドEDRサービス市場規模推移および予測(2019~2025年度予測)
これらの市場動向からも、「運用監視を含めたセキュリティサービス(SOC)」の提供者と、そのサービスを求める利用者側のニーズが、2020年以降、ともに大きく増加していることが伺えます。
SOCとCSIRTとの違い
SOCとよく比較される概念に「CSIRT(シーサート)」があります。
SOCとCSIRT(Computer Security Incident Response Team)は、どちらも組織内のシステムやネットワークを監視してセキュリティ強化を図る役割を持ちますが、「インシデントに関連する、どの部分をメインに管轄するか」に違いがあります。
SOCは組織内のさまざまなログを監視し、インシデントを「検知」する部分がメインの役割です。一方のCSIRTは、インシデントが発生した際に復旧や原因の追跡・復旧など、インシデント対応を実施するのがメインの役割となります。
| SOC |
・インターネットやシステムを24時間365日体制で監視 ・サイバー攻撃の「検知」「分析」を主におこなう |
CSIRT | ・セキュリティインシデントが発生した際、「対応」「復旧」「対策」を担う |
|---|
SOCサービスによっては、インシデント発生後の復旧や改善策の施行までサポートするものもありますが、本来の役割としては「SOCがインシデント発生前の監視」を、「CSIRTがインシデント発生後の対応」を担当します。
SOCとMDRとの違い
「MDR(Managed Detection and Response)」も、SOCとしばしば混同されるセキュリティ用語です。
「MDR」は、SOCや先述したCSIRTが行う「脅威の監視や検知・対応」といった役割を、アウトソースできるサービスやベンダーを指す言葉です。自組織にセキュリティの専門担当者やリソースが不足している場合も、MDRを利用することで、SOCの役割をアウトソーシングすることができます。
| SOC | 組織内のシステムやネットワークを監視する、組織の総称 | MDR | SOCやCSIRTの業務をアウトソーシングできる、サービスやベンダー |
|---|
MDRは通常、ベンダーが提供する監視系のセキュリティソリューション(EDRやNDRなど)の、マネージドサービスとして利用できるケースが一般的です。
SOCの担う業務内容
SOCが担う主な業務内容は、大まかに括ると次の3つに分類されます(ただし、どの範囲までサービスを提供するかは、組織や提供するベンダーによって異なります)。
1.継続的な監視と検知・アラート
2.脅威の分析・調査
3.セキュリティレベルの強化や対策立案
SOCが担当する3つの業務について解説します。
1.継続的な監視と検知・アラート
SOCの業務内容、1つ目は「SIEMを活用した、継続的な監視と検知・アラート」です。
24時間365日体制で、対象の機器やネットワークを継続的に監視し、異常な動作やインシデント兆候があればいち早く検知を行います。検知したインシデントは速やかにSOCへアラートで通知され、CSIRTなどと連携して具体的な復旧作業や駆除作業等を行います。
SOCを委託している場合には、お客様の元へ迅速にアラートを通知し、脅威の早期発見・対処をサポートします。
2.脅威の分析・調査
SOCの業務内容、2つ目は「脅威の分析・調査」です。
検知したインシデントを詳細に分析し、インシデントが組織内のどの範囲に影響を及ぼすのか、提供するサービスにどんな影響を与えるのか、など「発生状況」「影響範囲」「根本原因」を明らかにします。
調査分析を行うことで、感染被害の拡大を未然に防止する、あるいは今後の再発防止に向けた対策立案を効果的に行うことが可能です。
3.セキュリティレベルの強化や対策立案
SOCの業務内容、3つ目は「セキュリティレベルの強化や対策立案」です。
脅威の分析・調査を行った後、インシデントの発生原因やセキュリティホールを明らかにし、再発防止に向けた対策の施行を行います。
具体的には、放置されたOSやソフトウェアの脆弱性に対策をする、パスワードの管理や設定を見直す、アンチウイルスやIDS/IPSなどを導入し多層防御を行う、などの対策が考えられます。
SOCの知識やノウハウを活用することで、既存のセキュリティ状況や対策内容を見直し、より強固な体制づくりを検討することが可能となります。
SOCは「アウトソーシング」「自社構築」どちらを選ぶべき?
これまでお話しした通り、SOCを構築する方法には、「自社構築」と「アウトソーシング」の2種類の方法があります。これからSOCの構築を検討している組織では、どちらの方法を選択すべきか、悩むことも少なくないでしょう。
ここでは、SOCを自社構築した場合とアウトソーシングをした場合、それぞれのメリットについて解説します。
SOCを「自社構築」するメリットと必要な要件
SOCを自社の従業員で構築する自社構築には、「継続的に見るとコストを削減できる」「自社でスペシャリストを育成し、ノウハウを補完できる」というメリットがあります。
アウトソーシングの場合、サービス利用料が継続的に発生してしまいます。一方、自社構築であれば、採用~育成までのコストはかかるものの、独り立ちすれば「担当者の人件費のみ」で済むため、長い目で見るとコストが削減できる可能性が高いです。
また、アウトソーシングの場合は社内にセキュリティ運用のノウハウが蓄積されないため、将来的に自社でSOC部門を運用したい場合は、自社でセキュリティ人材を育成・採用する必要があるでしょう。
自社でSOCを構築する際は「人材の確保と育成」以外にも「監視システムの導入」や「SOCの対応範囲や業務設定」などの事前準備が必要となります。ただし現実的には、人材不足や立ち上げまでのノウハウ不足を理由に、SOCやCSIRTといった専属のセキュリティ部門の自社構築が困難なケースが少なくありません。
SOCを「アウトソーシング」するメリットと、サービスの選び方
続いて、SOCを「アウトソーシング」するメリットと、失敗しないサービスの選び方についてご紹介します。
SOCをアウトソーシングするメリットは、ずばり「社内にセキュリティ人材やリソースが不足していても、SOCサービスを利用することで、スペシャリストのスキルを活用できる」ことにあります。
SOCを導入することで、手間のかかるアラート対応や復旧への工数が削減されるだけでなく、専門知識や経験値が必要となる、より高度なサイバー攻撃にも対処することができます。
また、社内の情報システム部門がSOCの領域を兼務する必要がなくなり、情シス担当などであれば、本来のコア業務に集中して取り組めるというメリットも期待できるでしょう。
SOCサービスの種類と失敗しない選び方
SOCサービスも提供ベンダーにより、その特徴や価格帯・サービス範囲などは様々です。
「なるべく予算を押さえたい」「セキュリティ監視の一部をアウトソースしたい」といった企業向けの簡易的かつ安価なサービスもあれば、「すべてをまるっとお任せしたい」という企業に適した、スペシャリストが在籍する手厚いサービスまで、その種類は多岐にわたります。
様々なSOCサービスの中から、自社に適したものを選定するには、以下のポイントを比較・確認することが重要です。
・サービスの「対応範囲・内容」は、求めているものと相違ないか
・「自社の管理負荷」が、十分に軽減できるか(不要なアラート対応などがないか)
・「担当者の専門スキル」は十分か
・「サポート体制」は手厚いか・不便はないか
・「過去の実績」は豊富か
・「予算」は問題ないか
例えば、外部に「脅威の監視から検知・対応までを”包括的”に依頼したい」という組織が、「監視~検知のみ対応」するサービスを利用してしまうと、本来の目的が十分に達成できない可能性があります。
また、SOCサービスによっては、検知した挙動やプログラムを選別せず、ユーザーに通知するベンダーもあります。ユーザー側はすべての通知を確認しなければならないため、社内の管理工数削減を目指すのであれば、本当に必要な通知に厳選してくれるSOCサービスの利用が望ましいと言えます。
SOCサービス+最新のアンチウイルスを提供するLANSCOPE サイバープロテクション
LANSCOPE サイバープロテクションでは、話題のセキュリティソリューション「EDR」のSOCサービスとして「CylanceGUARD」の提供を2023年より開始します。
脅威の侵入をブロックする「AIアンチウイルス」+侵入後の脅威を検知し対処する「EDR」の2種類のソリューションを、セキュリティのスペシャリストが運用。お客様のエンドポイント環境を、あらゆる最新の脅威から守り抜きます。
以下では「CylanceGUARD」が特長とする、3つの強みをご紹介します。
1.必要なアラートを厳選して通知、お客様の管理負荷を最小限に。
SOCサービスでは、24時間365日体制でお客様の環境を監視し、不審な挙動やプログラムの検知に応じて、アラートを通知します。しかし、すべての検知にアラートを通知すると、管理工数が増大し、お客様の対応が追いつかないといった事態が発生してしまいます。
CylanceGUARDでは、弊社のスペシャリストによる徹底したアラート管理により、お客様に本当に必要なアラートのみを厳選して通知。また緊急時もお客様の代わりに、サイバー攻撃へ即時で対応するため、業務負荷を減らし安心して本体の仕事へ集中していただけます。
2.問い合わせからの平均応答時間は9分。緊急時も安心。
CylanceGUARDでは、お客様からの急なお問い合わせであっても、平均9分間で素早さで対応します。
突然、セキュリティインシデントが発生し「緊急で専門スタッフに相談したい」という場合も、専門スタッフが迅速なレスポンスを行うため安心です。
3.SOCスタッフは「修士号取得者」のみ。圧倒的な専門スキルで支援が可能。
CylanceGUARDのSOCスタッフは、全員サイバーセキュリティの修士号を取得しています。SOCコンテストにて優勝経験もある専門家が、24時間365日の監視を行うため、安心してお客様のセキュリティ対応をお任せいただけます。
また、「未知のマルウェアが潜んでないか見てほしい」など、アラート対応以外でもセキュリティに関するご相談に対応します。メール以外に、電話・チャットでの対応が可能です。
まとめ
いまや、あらゆる企業・組織がセキュリティ体制を強化する上で欠かすことのできない「SOC」「SOCサービス」について解説しました。
▼本記事のまとめ
・SOCとは、セキュリティの強化を目的として、24時間365日体制でシステムやネットワーク環境を監視し、検知・分析を担う組織のこと
・SOCは検知した異常の内容を分析し、監視対象の組織にどのような影響を与えるのかを明らかにしてアラートを発するのが主な役割
・SOCとCSIRTとの違いは、前者が監視・検知・分析がメインなのに対し、CSIRTはインシデントからの復旧や再発防止策の策定などを担う
・SOCの「自社構築」には、長期的なコストの削減とノウハウの補完というメリットが、アウトソーシングには自社にセキュリティ人材やノウハウが無くても、セキュリティの専門家なサービスが受けられるというメリットがある
・アウトソーシングのサービス選定時は、「対応範囲」や「削減できる管理工数」「スタッフの専門性・実績」などを比較し、自社に最適なものを選ぶことが大切
SOCを導入することで、強固なセキュリティ構築に取り組み、貴社の大切な情報資産やスタッフをサイバー攻撃の脅威から守ることが可能です。
ぜひ貴社の現在のセキュリティ環境について、改めて課題や体制を見直してみてはいかがでしょうか。
関連する記事
