サイト内の現在位置
SOCとは?意味や従来のセキュリティとの違い・仕組みを徹底解説!
終わることがないサイバー攻撃。企業がそれに対応していくためには、企業内に対策を講じるための専門組織を構築する必要があります。企業のセキュリティを守る専門組織「SOC」について、仕組みやその業務内容、CSIRTとの違いについて解説していきます。
SOCとは
「SOC」とは「Security Operation Center(セキュリティ・オペレーション・センター)」の頭文字を取った略称のことです。企業に向けたサイバー攻撃の検出・分析を行い、的確なアドバイスを提供する企業内の部門や専門組織を意味します。
従来、サイバー攻撃の検出・分析などは、社内の情報システム担当者やネットワーク担当者が対応するのが一般的でした。しかし、近年のIT活用の多様化やシステム環境の複雑化や、サイバー攻撃の高度化・複雑化などもあり、情報システム担当とは別で「SOC」を設置する企業も増えてきました。
SOCは、セキュリティに対して精通した人材を集めて、さまざまなサイバー攻撃の検知や対処を行うことで、企業への被害を未然に食い止める役割を担っています。万が一、被害が発生した時でも、迅速に対応を行うことで、被害を最小限に留めることができるのです。
SOCの主な業務内容
SOCでは24時間365日体制でネットワークやデバイス等の監視を行っており、その上でサイバー攻撃の検出やログの分析、対応策などのアドバイスを行います。
また、サイバー攻撃を阻止するためのセキュリティ対策を立案しており、万が一、サイバー攻撃を受けたときには、影響範囲の特定なども行います。
SOCの仕組み・機能
SOCでは、監視対象となっているデバイス等のログを「SIEM(Security Information and Event Management)」というログ一元管理ツールに集約して監視を行っています。
SIEMが異常を検知すると、SOCへアラートが発報される仕組みとなっており、アラート確認後すぐに、SIEMの異常の内容やその影響範囲を調査します。
SOCが重要視される背景
現代の企業ではIT活用の多様化に伴い、使用デバイスが多様化しているため、システム環境も複雑化しています。同時に、企業に対するサイバー攻撃が増加している点から、システムの多様化・高度化が進んでいます。
近年ではクラウドサービスを活用する企業が増加し、業務の利便性向上が図られていますが、クラウドサービスは常に外部のネットワークと接続されているため、サイバー攻撃の危険性が高まってしまいます。
加えて、サイバー攻撃に対応するにあたり、企業内のシステム担当者やネットワーク担当者だけの管理では不十分であり、且つ困難を極めつつあります。このような背景から、企業のセキュリティ対策として24時間365日の監視を行ってくれる専門的な技術を持つ組織であるSOCの存在が注目されているのです。
実際に株式会社グローバルインフォメーションが公開した調査レポートでも、世界のSOCサービスの市場規模は成長していくとされています。調査レポートでは、2023年時点の市場規模は67億米ドルですが、2028年には114億米ドルにまで成長すると予測されています。
出展元:株式会社グローバルインフォメーション
「SOCaaSの世界市場:脅威タイプ別、サービスタイプ別、オファリング別、組織規模別、用途別、セクター別、業界別、地域別-2028年までの予測」
SOCのCSIRTとの違い
SOCに似た組織として、セキュリティインシデントが発生したときに対応するチームである「CSIRT(Computer Security Incident Response Team)」という専門組織もあります。
SOCはインシデントを検知することに特化した組織であり、対してCSIRTはインシデントが発生した際の対応に特化した組織と認知されています。
SOCとMDRとの違い
先ほどは「CSIRT」との違いを紹介しましたが「MDR」もSOCとの違いが良く分からないと言われている言葉です。
MDR(Managed Detection and Response)は、インシデントの特定・監視や対処、インシデント発生時の影響を低減するサービスやベンダーのことを言います。つまり、SOCやCSRITの役割をMDRにアウトソースをする、といったイメージです。
MDRを利用することで、社内のセキュリティ担当の育成や新規雇用をせずにセキュリティを高めることができますが、頼りきりにしてしまうと、社内のセキュリティ意識が薄くなってしまうため、MDRを利用しつつ、自社内でSOCやCSIRTの立ち上げも行った方が良いでしょう。
SOCのメリットや強み
ここまで、SOCがどのようなものかを説明してきました。続いてはSOCのメリット・強みを紹介します。
業務効率化につながる
セキュリティに関する相談・対策などをトラブル発生の都度、業務の合間に行っている場合は業務の効率化につながるでしょう。
社内のセキュリティに関する業務をSOCに任せられるため、今まで社内のセキュリティに関する業務を兼任していた方が本来の自分の業務に集中することができるようになります。
セキュリティ対策の強化
日々新しい攻撃が生まれるサイバー攻撃に対して、知識と技術を備えた専門家に監視してもらうことができます。専門家がセキュリティ対策を行うため、セキュリティリスクの低減につながります。
顧客からの信頼獲得
専門家に見てもらえているという安心感は、社員だけでなく顧客からの信頼獲得にもつながります。セキュリティリスクが低減されるのはもちろん、万が一トラブルが発生した際にも専門家による対策を早急にできる体制は社内・社外共に安心感をもたらしてくれます。
SOCの注意点
SOCは良い点もありますが、立ち上げる際に注意が必要な点もあります。SOCの注意点を2つ紹介します。
業務の定義・明確化
まず何よりも大事なのが業務の範囲を明確化することです。どこからどこまでをSOCで対応するのか、社内の各部門との役割分担を明らかにしておきましょう。
業務範囲を明確化できていないと、対応が必要なセキュリティに関するインシデントが発生した際に対応が漏れてしまう可能性があります。
整理するのは大変ですが、SOCを立ち上げる際は、SOCで行う業務内容・業務範囲を明確化した上で運用開始するようにしてください。
運用ルールの設定
SOCが行うサイバー攻撃の検出・分析方法もルール化した方が良いでしょう。報告フォーマット、分析のポイント、報告のタイミングなどが対応するメンバー毎に異なってしまうと、折角分析したデータを最大限活用できなくなってしまいます。
もちろん運用を進める中でルールのアップデートは必要ですが、SOC立ち上げ前に最低限の運用ルールは決めておきましょう。
SOC組織を立ち上げる際の課題点・ポイント
社内でSOC組織を立ち上げる場合は、次のような課題が浮き彫りになる可能性があります。
セキュリティ人材の不足
サイバー攻撃によるセキュリティ脅威はますます高度化・複雑化しており、そのサイバー攻撃を分析する担当者にも高い専門性が要求されるようになってきています。
ネットワークやシステムの担当者でもこのような専門性の高い人材は多くないため、新たにセキュリティ人材を確保することは容易ではありません。
金銭的コスト
社内にSOCを設置した場合、セキュリティに特化した人材を新しく雇用することになります。仮にセキュリティ人材を確保できたとしても、その人材に対して支払う給与や業務遂行に関わる金銭的コストが想定以上にかかる可能性があります。
24時間365日の監視体制
SOCは24時間365日体制で、サイバー攻撃の継続監視を行います。そのためには3交代制を設ける必要があり、その運用リソースの確保も容易ではありません。
SOCのアウトソーシングなら課題も解決
ここまで説明してきたように、SOCに求められる人材のレベルは高く、自社内でSOCを組織して運営していくことはハードルが高く、SOC立ち上げ実現に至っていない企業も多いことでしょう。
しかし最近では、SOCを社内に置かないアウトソーシングサービスも存在します。SOCのアウトソーシングサービスでは、データセンターにセキュリティ機器が設置され、送られてくるセキュリティアラートやセキュリティログは、専門の外部セキュリティオペレーターと外部アナリストが24時間365日の体制で監視・分析します。
さらに、異常を検知した時には、そのインシデントに対して迅速に対応を行ってくれます。
つまり、SOCのアウトソーシングサービスを活用することで、社内でSOC組織を立ち上げる際の課題点を解決できるのです。
SOCのアウトソーシングをする際の注意点
SOCをアウトソーシングすることで課題が解決できると言いましたが、注意すべき点もあります。
SOCの注意点でも言いましたが、アウトソースする場合も「SOCで行う業務内容・業務範囲を明確化」するようにしましょう。
- 自社が求めている業務内容・業務範囲をそのアウトソース先で賄えるのか
- 自社が求めている以上の対応ができる代わりにコストが高くなっていないか など
アウトソースするにあたり、自社が何を求めるのかは事前に決めておくようにしましょう。
また、アウトソースを利用することで、社内のセキュリティに対する意識が薄くなってしまうことも懸念されます。有識者がセキュリティ対策を行っていても、社員の意識が低いとインシデントは発生してしまいます。
社員全員がセキュリティに対する意識を持つよう、社員教育も忘れず行うようにしましょう。
SOCのアウトソーシングはNECフィールディングにお任せください
NECフィールディングでは、「エンドポイントセキュリティの強化」「運用管理のフルアウトソース」が可能なサービスを用意しています。
- セキュリティ導入運用サービス for Cybereason EDR
AIなどで未知のウイルス検知し攻撃対象になりやすいエンドポイントからゼロトラストを実現することで、マルウェア感染によるビジネス損失などのリスクを低減・防止します。
また、その運用をアウトソースすることで感染が疑われる場合の対処方法をNECフィールディングより提案し、効果的な運用を支援します。
https://www.fielding.co.jp/service/security/edr-soc/
次のような課題を抱えている場合は、ぜひNECフィールディングまでご相談ください。
- マルウェア感染による情報漏えいや事業停止リスクを抑制したい
- パターンマッチングの既知のウイルスは防げるが未知のウイルスは対策できていない
- アラートの重要度/影響度を判断するためのスキル不足、セキュリティ運用をアウトソースしたい
まとめ
多様化・高度化するサイバー攻撃に企業が対応するためには、社内にSOCを設置する必要性が高いです。SOCを設置する社内リソースが不足している場合は、アウトソーシングサービスを利用するのもいいでしょう。
関連記事
CISOは「最高情報セキュリティ責任者」という意味で、インターネットのサイバー攻撃やマルウェア感染などのセキュリティリスクに対して、施策を検討・実施する立場にあります。企業において情報管理・ICT資産管理は重要課題であり、統括してセキュリティ管理を行うCISOの存在は、これからの日本企業にとって欠かせません。今回はCISOの役割と人材の選び方などを詳しく解説していきます。
ゼロトラストセキュリティとは、信用がないことを前提にしたセキュリティ対策のことです。今までのネットワークセキュリティが抱える課題から、ゼロトラストセキュリティが重要視される理由やメリット・デメリットについて考えてみましょう。さらにゼロトラストの7つの原則と、実現に向けた4つのソリューションを解説しながら、導入時・運用時の注意点を詳しく紹介します。
デジタル化が進むにつれ、企業のセキュリティ対策の重要性も増しています。対策を怠れば、情報漏えいやサイバー攻撃のリスクが高まり、これまで培ってきた企業の信頼を失ってしまうかもしれません。適切なセキュリティ対策は、企業活動の基盤ともいえるものです。
ただし、どのようなセキュリティ対策を行うべきかわからないという企業は多く、また、現在のセキュリティ対策をもっと強化したいという企業も多いです。今回は、企業が行うべきセキュリティ対策や最近のセキュリティ対策の考え方、そのポイントなどについて解説します。
発行元:NECフィールディング
お客さま事業・業務にお役立ていただける情報をお届けします。
ご相談はお問い合わせフォームよりご連絡ください。
※当社は法人向けサービスを提供しているため、個人のお客さまに対してはサービス提供できません。あらかじめご了承ください。