SOC (セキュリティオペレーションセンター)とは、情報セキュリティオペレーションセンター(ISOC)とも呼ばれ、情報セキュリティチームが、通常は24時間365日体制でサイバーセキュリティインシデントを監視、検出、分析して対応する集中管理組織です。
SOCは主にセキュリティアナリストとセキュリティエンジニアの両方で構成されるセキュリティチームによって構成されます。彼らは、潜在的なセキュリティの脅威を特定し、できる限り迅速に阻止するために、サーバー、データベース、ネットワーク、アプリケーション、エンドポイントデバイス、Webサイトなどのシステムのすべてのアクティビティを監視します。また、組織のセキュリティ体制に影響を与える可能性のある関連外部ソース(脅威リストなど)も監視します。
SOCは脅威を特定するだけでなく、脅威の分析、発生源の調査、発見された脆弱性の報告を行い、今後同様の脅威が発生した場合の対策を計画する必要があります。つまり、セキュリティの問題にリアルタイムで対処しながら、絶えず組織のセキュリティ体制を構築し、強化に取り組んでいます。
大規模になると、文字通り世界各地のセキュリティオフィスを束ねるグローバルセキュリティオペレーションセンター(GSOC)を設置している場合もあります。世界中にオフィスがある場合は海外の拠点ごとにSOCを設置する代わりにGSOCを設けて、拠点における役割や機能の重複を排除し、オーバーヘッドを削減して、セキュリティチームが組織全体の状況を包括的に把握できるようにします。
以下では、SOCを設置する意味、重要性に加えて、SOCやGSOCの基本的な機能について説明します。
サイバー攻撃による組織の被害はますます増加しています。2018年には、何十億もの人々がデータ侵害とサイバー攻撃による被害に遭い、組織のプライバシーと個人情報の保護に対する消費者の信頼は失墜する一方でした。70%近くの消費者がハッキングやサイバー攻撃に対して企業は脆弱であると考えており、侵害を受けた企業との取引を開始または継続する可能性は低いと回答しています。
SOCの機能を簡単に言えば、リアルタイムで脅威を検出、阻止することです。包括的な観点から見たSOCの機能は次のとおりです。
ビジネスの稼動を維持できるといったメリットには計り知れない価値があります。しかしSOCが絶対に必要かどうかを考える場合、政府や業界による規制の対象となるか、セキュリティ侵害が発生したことがあるか、または顧客情報などの機密データ保存に関わるビジネスに従事しているかを検討するとよいでしょう。これらに該当する場合は「絶対に必要」です。
詳細は「SOCの最新化に必要な10の機能」をご覧ください。
SOCはインシデント対応をリアルタイムで実施し、セキュリティ強化を継続的に推進して、組織をサイバー脅威から保護します。高度な機能を持つSOCは、適切なツールと適切な人材をさまざまに組み合わせてネットワーク全体を監視および管理することにより、以下の機能を提供します。
SOCではさまざまなツールを利用し、ネットワークと各種デバイスからデータを収集し、異常の有無を監視して、潜在的な脅威について担当スタッフの注意を喚起します。ただし、SOCの役割は出現した問題に対処するだけにとどまりません。
SOCは、脅威を検知していないときに何をしているのでしょうか?SOCには組織内外の脆弱性の検出という任務があるため、ソフトウェアとハードウェアの脆弱性分析を継続的に実施したり、既知のリスクに関する脅威インテリジェンスを積極的に収集したりしています。そのため、活動中の脅威がないように見える場合でも(ハッカーによる攻撃は約39秒ごとに発生するという調査結果から考えると、脅威がない状態は稀ではありますが)、SOCスタッフは、セキュリティを強化する方法を積極的に検討しています。脆弱性評価では、脆弱性を検出するために自社システムに対するハッキング(侵入テストと呼ばれる)を行います。また、SOC担当者の中核となる役割はセキュリティ分析です。つまり、組織で適切なセキュリティツールが最適な状態で利用されていることを確認し、機能している点と機能していない点を評価します。
SOCには、高度なスキルを持つセキュリティアナリストとセキュリティエンジニアの他にも、円滑に運営されていることを確認するスーパーバイザー(管理者)がいます。これらのスタッフは、セキュリティの脅威を監視および管理するための特別な訓練を受けた専門家です。さまざまなセキュリティツールの利用に長けているだけでなく、インフラが侵害されたときに従う手順も理解しています。
ほとんどのSOCでは、セキュリティ問題を管理するために階層型のアプローチを採用しています。この場合、アナリストとエンジニアは、スキルセットと経験に基づいて分類されます。一般的なチーム構成は次のとおりです。
SOCは組織内のセキュリティの状況を24時間365日監視し、問題を検出、分析しているのに対して、NOC (ネットワークオペレーションセンター)の主な目的はネットワークのパフォーマンスとスピードを標準レベルに保ち、ダウンタイムを抑制することです。
SOCのエンジニアとアナリストの任務は、サイバー脅威や攻撃を監視し、社内のデータやシステムが侵害される前に対処することです。一方、NOC担当者の任務は、ネットワーク速度の低下やダウンタイムの原因となる可能性のある問題を監視することです。どちらも、顧客や従業員に影響を及ぼす前に問題を防ぐことを目的として、リアルタイムで積極的に監視し、同様の問題が再発しないように継続的に改善を行う方法を模索します。
重大なインシデントではSOCとNOCが協力して対応して危機を乗り切る必要があるため、場合によってはSOC機能がNOC内に置かれることもあります。セキュリティの脅威はネットワークパフォーマンスにも影響するため、チームに十分な知識があり、こうした脅威を監視している場合は、NOCでも脅威を検出して対応することができます。一般的なSOCでは、さまざまなツールやスキルセットに投資しなければ、ネットワークパフォーマンスの問題を検出して対応することはできません。
SOC構築のベストプラクティスには、戦略の策定、組織全体に対する可視性の確保、適切なツールへの投資、適切な人材の採用とトレーニング、効率の最大化、特定のニーズとリスクに応じたSOCの設計などが挙げられます。
戦略を策定する:SOCへの投資は非常に重要ですが、セキュリティ計画に大きく依存します。セキュリティニーズに対応した戦略を策定するには、以下の点を考慮してください。
組織全体に対する可視性を確保する:SOCは、セキュリティに影響を及ぼす可能性があれば、どんなに些細で重要でないように見えても、あらゆるものにアクセスできる必要があります。大規模なインフラに加え、デバイスのエンドポイント、サードパーティが管理するシステム、暗号化データなども含まれます。
適切なツールとサービスに投資する:SOCの構築について考えるときは、まずツールを重視します。セキュリティイベントの数は膨大であるため、「不要な情報」を処理してから重大な脅威を拾い上げるには適切な自動化ツールが必要です。具体的には、以下のようなツールに投資する必要があります。
優秀な人材を採用し、十分なトレーニングを行う:有能な人材を採用し、継続的にスキルを向上させることが成功には不可欠です。セキュリティ人材の市場は競争下にあります。優秀な人材を採用したら、スキル向上のためのトレーニングに継続的に投資することで、セキュリティ強化につながるだけでなく、エンゲージメントと定着率が向上します。チームスタッフは、アプリケーションとネットワークのセキュリティ、ファイアウォール、情報保証、Linux、UNIX、SIEM、セキュリティのエンジニアリングとアーキテクチャを理解する必要があります。最高レベルのセキュリティアナリストには、次のスキルが必要です。
あらゆる選択肢を検討する:SOCの一般的な種類には以下のものがあります。
より詳しく知りたい方は、Splunkが提供している『優れたSOCを構築するための基本ガイド』をぜひご覧ください。
SIEMがあれば、組織を保護するうえでSOCを効率的に運用できます。トップレベルのセキュリティアナリストによって高度な設定が行われていても、大量のデータストリームを1行ずつ確認して悪意を持ったアクティビティを発見することはできません。しかしSIEMを利用すれば業務は一変します。
すでに説明したとおり、SIEMは、ネットワーク内のさまざまなソースから得たあらゆるデータの収集と整理、インサイトの提供することで、社内外の攻撃の迅速な検出と対応、脅威管理のシンプル化、リスクの最小化、組織全体にわたる可視化とセキュリティインテリジェンスを得ることができます。
SIEMは、監視、インシデント対応、ログ管理、コンプライアンスレポート、ポリシー適用などのSOC業務を実施するうえで不可欠です。ログ管理機能1つだけでも、あらゆるSOCに必須のツールです。SIEMは、何千ものソースから送信される膨大な量のセキュリティデータをほんの数秒で解析して、異常な動作や悪意のあるアクティビティを検出し、それを自動的に阻止できます。こうしたアクティビティの多くは、SIEMがなければ検出されることはありません。
SIEMは、SOCによるログ収集や自動化を実現するルールの作成を支援し、アラートの誤検出を大幅に削減できます。セキュリティアナリストの負担を軽減して、真の脅威に集中させることができます。さらに、フォレンジック調査とコンプライアンス要件の両方に役立つ強力なレポート機能も利用できます。
どの組織も厳重なセキュリティを求めています。SIEMとセキュリティ機能をNOCに取り入れる場合でも、SOC機能のほとんどまたはすべてをサードパーティのサービスプロバイダーにアウトソースする場合でも、社内チームを構築する場合でも、SOCの立場でセキュリティに関する問題に取り組むことが重要です。
まずは「自社のセキュリティニーズは何か?」を明確にすることから始めましょう。次に「どうすればセキュリティニーズを最も効果的かつ効率的に満たすことができるか?」について考えることが重要です。
ガートナー社のSIEM部門のマジッククアドラント
ガートナー社の最新のマジッククアドラントでSIEM市場の動向を掴みましょう。
Splunkプラットフォームは、データを行動へとつなげる際に立ちはだかる障壁を取り除いて、オブザーバビリティチーム、IT運用チーム、セキュリティチームの能力を引き出し、組織のセキュリティ、レジリエンス(回復力)、イノベーションを強化します。
Splunkは、2003年に設立され、世界の21の地域で事業を展開し、7,500人以上の従業員が働くグローバル企業です。取得した特許数は850を超え、あらゆる環境間でデータを共有できるオープンで拡張性の高いプラットフォームを提供しています。Splunkプラットフォームを使用すれば、組織内のすべてのサービス間通信やビジネスプロセスをエンドツーエンドで可視化し、コンテキスト(把握したい要素) に基づいて状況を把握できます。Splunkなら、強力なデータ基盤の構築が可能です。
日本支社を2012年2月に開設し、東京の丸の内・大手町、大阪および名古屋にオフィスを構えており、すでに多くの日本企業にもご利用いただいています。
© 2005 - 2023 Splunk Inc. 無断複写・転載を禁じます。