企業のセキュリティ監視を行う組織:SOCとは?

2017年11月30日(木) ノウハウ

<ちょい読み>
・SOCは企業に向けたサイバー攻撃の検出や分析を行い、的確なアドバイスを提供する役割を持つ部門や専門組織を指す
・24時間365日常時監視の需要が拡大したためSOCが注目されている
・SOC専任の人材を確保することは全ての企業では難しいため、アウトソーシングでのSOC構築も


みなさんはSOC(ソック)という言葉を聞いたことはありますか?
SOCとは「Security Operation Center(セキュリティ・オペレーション・センター)」の略で、セキュリティ監視を行う拠点です。
あまり知られていない言葉ではありますが、昨今SOCを構築する企業が増えている傾向にあり、各企業のセキュリティ意識が向上してきていることがわかります。
今回はSOCとはどういった組織なのか、何をしているのかについて基礎知識を解説していきます。

企業のセキュリティ監視を行う組織:SOCとは?

SOCは企業に向けたサイバー攻撃の検出や分析を行い、的確なアドバイスを提供する役割を持つ部門や専門組織を意味します。
高い専門性が要求され、かつ24時間365日の監視が必要であることから、外部に委託されるケースが多いです。
一方自社でプライベートSOCの運用リソースをまかなうことができるほど規模の大きな企業は、組織内にSOCを設置しプライベートSOCを構築します。
では、SOCが必要となる要因は何でしょうか?

SOCが必要とされている要因とは

サーバ、パソコンだけでなく、リモートワークなど働き方の多様化などを受け、仮想デスクトップ、スマートフォン、タブレットといった様々な特徴を持った端末が増加しています。システム環境を見ても、単純なLAN環境だけでなく、クラウド環境との連携といったケースも多いです。
システム環境や端末の多様化を受け、サイバー攻撃も多種多様になり、世界中から狙われるようになりました。
そういったサイバー攻撃に対処するために、ウイルス対策ソフト・ファイアウォールIPS/IDSなど様々な対策を行い、さらに、24時間365日監視をする必要性も高まっています。
これら業務を担う組織をSOCと呼び、多くの企業から需要が高まっています。
けれども、全ての企業がSOCを構築することができるわけではありません。
一体なぜでしょうか?

SOCを構築するためには

24時間365日企業へ向けたサイバー攻撃を監視する組織であるSOCですが、サイバー攻撃を監視するための手法は先に挙げたように多種多様です。
実際に利用するセキュリティ対策サービスも1つ2つではありません。さらに24時間365日の常時監視が必要です。
こういった運用を行うための技術者は複数人必要となるわけですが、セキュリティ対策用のサービスやツールを使えるだけでなく、インシデントの解析などもできるとなるとそう簡単には見つかりません。セキュリティに特化した人材が少ない日本の場合、実現はなかなか難しいでしょう。
では、SOCは具体的にはどのような業務を行っているのでしょうか?

SOCが行う業務とは

SOCは、ファイアウォールIPS/IDSといったセキュリティ機器、ネットワーク機器や端末のログなどを定常的に監視し、発生した事象を分析します。
そこで脅威となるインシデントの発見や特定、連絡を行う役割を持っています。
また、そのインシデントの影響範囲を調べたり、あらかじめ想定されたリスクや指標に基づいて、 インシデントを評価します。

SOCとCSIRTとの違い

同じくセキュリティ関連の組織であるCSIRTとの違いとしては、 CSIRTではインシデントが発生したときの対応に重点が置かれているのに対し、 SOCは脅威となるインシデントの検知に重点が置かれているという特徴があります。

SOCの仕組み

セキュリティの監視では主に以下のようなデバイスのログをチェックします。

• Firewall
• IDS・IPS
• ウイルス対策ソフト
• メールサーバ
• Active Directoryなどの認証サーバ
• Webフィルタリング

これらのログを1つ1つ監視するのではなく、これらのログをSIEM(Security Information and Event Management)というシステムに集約します。そしてSIEMに検知したい異常なイベントのルールなどを登録することにより、自動的に異常を検知してアラートをSOCに送信します。SOCはそのアラートをもとに、どのような異常が発生してどのような影響があるのかを調査します。
調査の結果、実際のサイバー攻撃や、それによる被害が発生した場合は、セキュリティインシデントと認定してCSIRTなどの組織に連絡します。その後はCSIRTが主体的にインシデント対応を行います。

SOC構築について

自社でSOCを構築する場合には、SOCのミッションや責任範囲を定義し、SOCをサポートするための手順、プロセスを明文化することや、監視対象の技術分野やデータのタイプの決定、人材確保、イベントの管理といったポイントを踏まえる必要があります。

SOCを構築するポイントをまとめると、以下となります。

• SOCの定義 ― SOCの任務、責任範囲を設定
• プロセスの決定 ― SOCをサポートするのに必要なテンプレート、手順、プロセスを特定して文書で明確化
• 環境の理解 ― 監視する技術分野、「使用事例」およびSOCが受信するデータのタイプを決定
• 顧客の特定 ― 顧客のクラスおよびSOCとの関係を決定
• SOCの人材確保 ― 受付時間、およびシフトごとに必要なスタッフを定義
• イベントの管理 ― SOCが受信するイベントの分類、割り当ておよび優先順位付け
• ITIL※の活用 ― ITILのコアコンポーネントを理解して、SOCを効果的かつ継続的に運営
※ITIL
ITサービスマネジメントのベストプラクティスをまとめたフレームワークであり、ITサービスマネジメントの業界標準として広く認知されています。

なお、セキュリティ人材の確保、育成や、SOC経験者のキャリアパスの提示、適切な評価、動機づけなどの人事面での課題が指摘されることがあるため、自社でSOCを組織し、効果的かつ継続的に運営することは、一般企業にとってはハードルが高いです。

そこで注目されているのが、SOCの機能を外部にアウトソースするSOCサービスです。サービス提供者のデータセンターにセキュリティ機器を設置し、それらやサーバから送られてくるセキュリティアラートやセキュリティログを、専門のセキュリティオペレーターとアナリストが24時間365日の体制で監視・分析し、異常を検知してインシデントに迅速に対応します。
企業の規模や、実際に運用をすることができる人材がどれだけいるかによって自社でSOCを運用するか、アウトソーシングで運用するかを決めると良いでしょう。

企業のセキュリティの質向上のためにも一度SOCの立ち上げを検討してみてはいかがでしょうか。

Writer:SecurityTIMES編集部