SOC (セキュリティオペレーションセンター)とは、情報セキュリティオペレーションセンター(ISOC)とも呼ばれ、情報セキュリティチームが、通常は24時間365日体制でサイバーセキュリティインシデントを監視、検出、分析して対応する集中管理組織です。
SOC (セキュリティオペレーションセンター)の概要
SOCは主にセキュリティアナリストとセキュリティエンジニアの両方で構成されるセキュリティチームによって構成されます。彼らは、潜在的なセキュリティの脅威を特定し、できる限り迅速に阻止するために、サーバー、データベース、ネットワーク、アプリケーション、エンドポイントデバイス、Webサイトなどのシステムのすべてのアクティビティを監視します。また、組織のセキュリティ体制に影響を与える可能性のある関連外部ソース(脅威リストなど)も監視します。
SOCは脅威を特定するだけでなく、脅威の分析、発生源の調査、発見された脆弱性の報告を行い、今後同様の脅威が発生した場合の対策を計画する必要があります。つまり、セキュリティの問題にリアルタイムで対処しながら、絶えず組織のセキュリティ体制を構築し、強化に取り組んでいます。
大規模になると、文字通り世界各地のセキュリティオフィスを束ねるグローバルセキュリティオペレーションセンター(GSOC)を設置している場合もあります。世界中にオフィスがある場合は海外の拠点ごとにSOCを設置する代わりにGSOCを設けて、拠点における役割や機能の重複を排除し、オーバーヘッドを削減して、セキュリティチームが組織全体の状況を包括的に把握できるようにします。
以下では、SOCを設置する意味、重要性に加えて、SOCやGSOCの基本的な機能について説明します。
SOC(セキュリティオペレーションセンター)の重要性
サイバー攻撃による組織の被害はますます増加しています。2018年には、何十億もの人々がデータ侵害とサイバー攻撃による被害に遭い、組織のプライバシーと個人情報の保護に対する消費者の信頼は失墜する一方でした。70%近くの消費者がハッキングやサイバー攻撃に対して企業は脆弱であると考えており、侵害を受けた企業との取引を開始または継続する可能性は低いと回答しています。
SOCの機能を簡単に言えば、リアルタイムで脅威を検出、阻止することです。包括的な観点から見たSOCの機能は次のとおりです。
- 迅速に対応する:SOCでは、複数の拠点と数千のエンドポイントがある場合でも、セキュリティの観点からインフラ全体の稼動状況をリアルタイムで詳細かつ一元的に可視化します。このため、ビジネスに多大な悪影響を及ぼす前に、問題を検出、特定、防止、解決することができます。
- 消費者と顧客の信頼を守る:消費者はすでにほとんどの企業に対して不信感を抱いており、自分のプライバシーを懸念しています。SOCを設置して消費者と顧客のデータを保護することは、企業への信頼を築くのに役立つことはもちろん、侵害を阻止して信頼を守ることにもつながります。
- コストを削減する:多くの組織は、SOCの設置に膨大な費用がかかると考えていますが、データの損失、データの破損や顧客の離脱など、侵害に伴うコストはこれをはるかに上回ります。さらに、SOC担当者はビジネスに適したツールを最大限に活用できるようになり、効果のないツールにお金を無駄にすることはありません。
ビジネスの稼動を維持できるといったメリットには計り知れない価値があります。しかしSOCが絶対に必要かどうかを考える場合、政府や業界による規制の対象となるか、セキュリティ侵害が発生したことがあるか、または顧客情報などの機密データ保存に関わるビジネスに従事しているかを検討するとよいでしょう。これらに該当する場合は「絶対に必要」です。
詳細は「SOCの最新化に必要な10の機能」をご覧ください。
SOCの機能
SOCはインシデント対応をリアルタイムで実施し、セキュリティ強化を継続的に推進して、組織をサイバー脅威から保護します。高度な機能を持つSOCは、適切なツールと適切な人材をさまざまに組み合わせてネットワーク全体を監視および管理することにより、以下の機能を提供します。
- 24時間体制によるネットワーク、ハードウェアおよびソフトウェアのプロアクティブな監視により脅威と侵害の検出、インシデント対応を行う。
- サードパーティベンダーを含む、組織が使用するすべてのツールに関する専門知識を持ち、セキュリティの問題を簡単に解決できるようにします。
- アプリケーションソフトウェアのインストール、更新、およびトラブルシューティング。
- ファイアウォールと侵入防止システムの監視と管理。
- ウイルス対策、マルウェア、およびランサムウェアの各ソリューションを利用した脅威のスキャンと修復。
- メール、音声、および動画のトラフィック管理。
- パッチ管理とホワイトリストの設定。
- さまざまなソースから取得したセキュリティログデータの詳細な分析。
- セキュリティトレンドの分析、調査、および文書化。
- セキュリティ侵害の調査。攻撃の根本原因を把握し、今後の侵害を阻止します。
- セキュリティポリシーとセキュリティプロシージャの適用。
- バックアップ、保存、リカバリ。
SOCではさまざまなツールを利用し、ネットワークと各種デバイスからデータを収集し、異常の有無を監視して、潜在的な脅威について担当スタッフの注意を喚起します。ただし、SOCの役割は出現した問題に対処するだけにとどまりません。
SOCは、脅威を検知していないときに何をしているのでしょうか?SOCには組織内外の脆弱性の検出という任務があるため、ソフトウェアとハードウェアの脆弱性分析を継続的に実施したり、既知のリスクに関する脅威インテリジェンスを積極的に収集したりしています。そのため、活動中の脅威がないように見える場合でも(ハッカーによる攻撃は約39秒ごとに発生するという調査結果から考えると、脅威がない状態は稀ではありますが)、SOCスタッフは、セキュリティを強化する方法を積極的に検討しています。脆弱性評価では、脆弱性を検出するために自社システムに対するハッキング(侵入テストと呼ばれる)を行います。また、SOC担当者の中核となる役割はセキュリティ分析です。つまり、組織で適切なセキュリティツールが最適な状態で利用されていることを確認し、機能している点と機能していない点を評価します。
SOCのスタッフ
SOCには、高度なスキルを持つセキュリティアナリストとセキュリティエンジニアの他にも、円滑に運営されていることを確認するスーパーバイザー(管理者)がいます。これらのスタッフは、セキュリティの脅威を監視および管理するための特別な訓練を受けた専門家です。さまざまなセキュリティツールの利用に長けているだけでなく、インフラが侵害されたときに従う手順も理解しています。
ほとんどのSOCでは、セキュリティ問題を管理するために階層型のアプローチを採用しています。この場合、アナリストとエンジニアは、スキルセットと経験に基づいて分類されます。一般的なチーム構成は次のとおりです。
- レベル1:一次対応のインシデント対応担当者。アラートを監視し、各アラートの緊急度と、アラートをレベル2にエスカレーションするタイミングを決定します。また、レベル1の担当者は、セキュリティツールを管理し、定期的なレポートを実行することもできます。
- レベル2:通常、レベル2の担当者は優れた専門知識を持っているため、問題の原因をすばやく探り、インフラのどの部分が攻撃を受けているかを評価できます。また、手順に従って問題の修正や副次的影響からの復元を行い、問題にフラグを立ててさらに調査できるようにします。
- レベル3:ネットワーク内の脆弱性を積極的に検出できる高度な専門知識を持つセキュリティアナリストで構成されます。このレベルの担当者は、高度な脅威検出ツールを使用して脆弱性を診断し、組織の全体的なセキュリティを強化するための改善するための提案を行います。このグループには、フォレンジック調査員、コンプライアンス監査人、サイバーセキュリティアナリストなどの専門家も含まれています。
- レベル4:このレベルは、経験年数が長い上級管理職とチーフオフィサーで構成されています。SOCチームのすべての活動を監督し、採用とトレーニングを行うほか、個人と組織全体のパフォーマンスの評価に責任を持ちます。危機発生時には、具体的にはSOCチームと他の組織との間の連絡役となります。組織、業界、および政府による規制へのコンプライアンスを確実に遵守する責任があります。
SOCとNOCの違い
SOCは組織内のセキュリティの状況を24時間365日監視し、問題を検出、分析しているのに対して、NOC (ネットワークオペレーションセンター)の主な目的はネットワークのパフォーマンスとスピードを標準レベルに保ち、ダウンタイムを抑制することです。
SOCのエンジニアとアナリストの任務は、サイバー脅威や攻撃を監視し、社内のデータやシステムが侵害される前に対処することです。一方、NOC担当者の任務は、ネットワーク速度の低下やダウンタイムの原因となる可能性のある問題を監視することです。どちらも、顧客や従業員に影響を及ぼす前に問題を防ぐことを目的として、リアルタイムで積極的に監視し、同様の問題が再発しないように継続的に改善を行う方法を模索します。
重大なインシデントではSOCとNOCが協力して対応して危機を乗り切る必要があるため、場合によってはSOC機能がNOC内に置かれることもあります。セキュリティの脅威はネットワークパフォーマンスにも影響するため、チームに十分な知識があり、こうした脅威を監視している場合は、NOCでも脅威を検出して対応することができます。一般的なSOCでは、さまざまなツールやスキルセットに投資しなければ、ネットワークパフォーマンスの問題を検出して対応することはできません。
SOC構築のベストプラクティス
SOC構築のベストプラクティスには、戦略の策定、組織全体に対する可視性の確保、適切なツールへの投資、適切な人材の採用とトレーニング、効率の最大化、特定のニーズとリスクに応じたSOCの設計などが挙げられます。
戦略を策定する:SOCへの投資は非常に重要ですが、セキュリティ計画に大きく依存します。セキュリティニーズに対応した戦略を策定するには、以下の点を考慮してください。
- 保護の必要性があるものは何か。単一のオンプレミスネットワークか、グローバル規模のネットワークか。クラウドかハイブリッドか。エンドポイントの数。機密性の高いデータや消費者情報を保護しているか。最も価値が高く、標的にされる可能性が最も高いデータは何か。
- SOCとNOCを統合するか、別々の部門として設置するか。前述のように、両者の機能は大きく異なるため、統合するにはさまざまなツールと担当者のスキルが必要です。
- SOCスタッフによる24時間365日体制が必要か。これは、人員配置、コスト、および諸設備に影響します。
- SOCを完全に社内で構築するか、サードパーティベンダーに一部またはすべての機能をアウトソースするか。費用対効果分析を入念に行うと、トレードオフの判断に役立ちます。
組織全体に対する可視性を確保する:SOCは、セキュリティに影響を及ぼす可能性があれば、どんなに些細で重要でないように見えても、あらゆるものにアクセスできる必要があります。大規模なインフラに加え、デバイスのエンドポイント、サードパーティが管理するシステム、暗号化データなども含まれます。
適切なツールとサービスに投資する:SOCの構築について考えるときは、まずツールを重視します。セキュリティイベントの数は膨大であるため、「不要な情報」を処理してから重大な脅威を拾い上げるには適切な自動化ツールが必要です。具体的には、以下のようなツールに投資する必要があります。
- SIEM(セキュリティ情報/イベント管理):ネットワーク内のアクティビティを完全に可視化する単一のセキュリティ管理システムです。ネットワーク上の幅広いソースからマシンデータを収集、解析、分類、分析し、リアルタイムで対処できるようにします。
- エンドポイント保護システム:ネットワークに接続するすべてのデバイスには攻撃対象となる危険性が存在します。エンドポイントセキュリティツールは、こうしたデバイスがネットワークにアクセスする際にネットワークを保護します。
- ファイアウォール:ネットワークの着信トラフィックと発信トラフィックを監視し、設定したセキュリティルールに基づいてトラフィックを自動的にブロックします。
- アプリケーションセキュリティの自動化:あらゆるソフトウェアのテストプロセスを自動化し、脆弱性に関するフィードバックをリアルタイムでセキュリティチームに提供します。
- 資産検出システム:アクティブ、非アクティブに関係なく、ネットワークで使用されているツール、デバイス、およびソフトウェアを追跡し、リスクを評価して脆弱性に対処できるようにします。
- データ監視ツール:データを追跡、評価して、そのセキュリティと整合性を確保します。
- ガバナンス、リスク、コンプライアンス(GRC)システム:必要なときに必要な場所で、さまざまな規則や規制に確実に準拠できるようにします。
- 脆弱性スキャナーと侵入テスト:セキュリティアナリストが脆弱性をサーチし、ネットワーク内で発見されていない脆弱性を見つけ出すことができます。
- ログ管理システム:ネットワーク上で実行されているソフトウェア、ハードウェア、エンドポイントデバイスからのメッセージをすべてログに記録します。
優秀な人材を採用し、十分なトレーニングを行う:有能な人材を採用し、継続的にスキルを向上させることが成功には不可欠です。セキュリティ人材の市場は競争下にあります。優秀な人材を採用したら、スキル向上のためのトレーニングに継続的に投資することで、セキュリティ強化につながるだけでなく、エンゲージメントと定着率が向上します。チームスタッフは、アプリケーションとネットワークのセキュリティ、ファイアウォール、情報保証、Linux、UNIX、SIEM、セキュリティのエンジニアリングとアーキテクチャを理解する必要があります。最高レベルのセキュリティアナリストには、次のスキルが必要です。
- 倫理的ハッキング:自社システムの脆弱性を明らかにするために、スタッフによって合法的なシステムハッキングを行う場合があります。
- サイバーフォレンジック:アナリストは問題を調査し、分析手法を活用して、調査で得られた証拠を理解して保存する必要があります。事件が裁判になった場合、セキュリティアナリストは、発生した内容と理由を示す一連の証拠文書を提供できる必要があります。
- リバースエンジニアリング:ソフトウェアを分解または再構築するプロセスであり、ソフトウェアがどのように機能するかを把握する目的で行われます。さらに重要なのは、攻撃に対して脆弱な部分について理解することで、チームが予防策を講じられるようにすることです。
- 侵入防止システムの専門知識:ツールがなければ、脅威がないかどうかネットワークトラフィックを監視するのは不可能です。SOCでは、ツールの適切な使い方について詳細を把握している必要があります。
あらゆる選択肢を検討する:SOCの一般的な種類には以下のものがあります。
- 企業内SOCは、通常、オンプレミスを前提とした専任スタッフがいます。物理的な部屋があり、あらゆる対応がそこで行われます。
- 仮想SOCは、オンプレミスではなく、必要に応じてパートタイム従業員や契約社員が連携して問題解決にあたります。このSOCと組織は、相互の関係を円滑にするために基準とガイドラインを設定します。SOCが提供するサポートの量は、組織のニーズによって異なります。
- アウトソーシングSOCとは、セキュリティ分析と対応を専門とする外部のマネージドセキュリティサービスプロバイダ(MSSP)が、一部またはすべての機能を管理しているSOCのことです。このような企業は、企業内SOCをサポートする特定のサービスを提供する場合もあれば、すべてに対応する場合もあります。
より詳しく知りたい方は、Splunkが提供している『優れたSOCを構築するための基本ガイド』をぜひご覧ください。
SIEMによるSOCの強化
SIEMがあれば、組織を保護するうえでSOCを効率的に運用できます。トップレベルのセキュリティアナリストによって高度な設定が行われていても、大量のデータストリームを1行ずつ確認して悪意を持ったアクティビティを発見することはできません。しかしSIEMを利用すれば業務は一変します。
すでに説明したとおり、SIEMは、ネットワーク内のさまざまなソースから得たあらゆるデータの収集と整理、インサイトの提供することで、社内外の攻撃の迅速な検出と対応、脅威管理のシンプル化、リスクの最小化、組織全体にわたる可視化とセキュリティインテリジェンスを得ることができます。
SIEMは、監視、インシデント対応、ログ管理、コンプライアンスレポート、ポリシー適用などのSOC業務を実施するうえで不可欠です。ログ管理機能1つだけでも、あらゆるSOCに必須のツールです。SIEMは、何千ものソースから送信される膨大な量のセキュリティデータをほんの数秒で解析して、異常な動作や悪意のあるアクティビティを検出し、それを自動的に阻止できます。こうしたアクティビティの多くは、SIEMがなければ検出されることはありません。
SIEMは、SOCによるログ収集や自動化を実現するルールの作成を支援し、アラートの誤検出を大幅に削減できます。セキュリティアナリストの負担を軽減して、真の脅威に集中させることができます。さらに、フォレンジック調査とコンプライアンス要件の両方に役立つ強力なレポート機能も利用できます。
どの組織も厳重なセキュリティを求めています。SIEMとセキュリティ機能をNOCに取り入れる場合でも、SOC機能のほとんどまたはすべてをサードパーティのサービスプロバイダーにアウトソースする場合でも、社内チームを構築する場合でも、SOCの立場でセキュリティに関する問題に取り組むことが重要です。
まずは「自社のセキュリティニーズは何か?」を明確にすることから始めましょう。次に「どうすればセキュリティニーズを最も効果的かつ効率的に満たすことができるか?」について考えることが重要です。
