SOCとは?必要性やCSIRTとの違いを解説

インターネットの利便性が高まる一方で、サイバー攻撃が高度化・巧妙化しています。最近ではマルウェアに感染させてシステムを暗号化し身代金を要求する「ランサムウェア」によって事業が一時停止に追い込まれる事故も頻発しています。
こうした状況の中、セキュリティ インシデントの検知や通知の機能を持つ組織として注目されているのがSOCです。セキュリティ対策の要ともいわれるSOCはどのような組織なのでしょうか。

SOCとは何か

個人情報が流出や業務の停止など、セキュリティリスクが具体的な影響として現れることを「インシデント」と呼びます。企業や組織は、インシデントの発生を抑止し、発生してしまった時に被害を最小化する対策を取らなければなりません。

SOC(Security Operation Center:ソック)はこうしたインシデント発生抑止と発生時の被害の最小化に対して責任を持つ組織のひとつです。企業では、サイバー攻撃から身を守るために、ファイアーウォールやIDS(侵入検知システム)といった情報セキュリティ機器を導入しています。

SOCは、こうした機器を始めとしてサーバー、ネットワーク機器、端末といったネットワークを構成する機器のログを監視し、不正な通信を発見して分析を行い、利用者やインシデントの解析・対応の専門組織であるCSIRT(Computer Security Incident Response Team:シーサート)へ報告します。インシデントを速やかに検出・対応するため、SOCでは24時間365日監視をして、サイバー攻撃に備えています。

SOCが必要とされる背景

2000年代に入って、インターネットが世界中に浸透していきました。金融やECといったビジネスのインフラとなり、一般人もインターネットを日常で利用するようになります。
インターネットの利用が拡大していく中で、悪意のある第三者がその利便性を悪用し、端末やネットワークに侵入し不正なプログラム「マルウェア」を実行する問題が多発しました。

1990年代は愉快犯の要素が強かったマルウェアですが、やがて金銭を目的とした犯罪行為になり、企業や政府機関といった特定の組織を狙う「標的型攻撃」が主流となりました。2017年に世界中で猛威を振るったWannaCryは記憶に新しいところです。
さらにスマートフォンや、センサーやカメラのように人のインターフェースがないIoTデバイスがインターネットに接続するようになったことで、セキュリティに関連する脅威が増大しています。

攻撃者はITインフラに内在する脆弱性をついて攻撃をしかけます。こうした攻撃に対応するために、数々のセキュリティ製品が開発されてきました。この構図を「イタチごっこ」と呼ぶように、セキュリティ対策は攻撃の後追いとなり、攻撃者が優位な立場になっているのが実情です。
最近の攻撃者は組織的に活動し、攻撃モジュールの開発に潤沢な資金を投資しており、防御側との技術力の差が開く一方です。

このような状況の中でサイバー攻撃を防御するには、日頃から関係機関と連携した情報収集や、迅速な異常検知、初動対策が重要になってきます。異常検知、初動対策をスピーディーに行うと、被害を受けた際の局所化にもつながります。

以前はネットワーク技術者が異常を検知し対処を行ってきました。しかし昨今の高度な攻撃の対策として、ゼロトラストの概念が提唱され、実現する手段としてSASE(Secure Access Service Edge:ネットワークとネットワークセキュリティを統合したサービス)やEDR(Endpoint Detection and Response:ネットワークに接続するエンドポイントの操作・動作の監視機能を提供するサービス)のように高機能なセキュリティ製品の導入が進みました。そのため、それらをより効果的に利用するためにSOCを設置する企業・組織が増えています。

攻撃の検出に迅速性が求められること、高度な攻撃に対抗するための専門的な知識が要求されることから、セキュリティ対応の専門部署としてSOCを設置する企業・組織が増えています。

SOCとCSIRTとの違い

SOCはセキュリティに対応する専門組織のひとつです。もうひとつ代表的なセキュリティの専門組織としてCSIRTがあります。
SOCは、セキュリティ イベントの監視、一次解析、CSIRTや利用者への通知を行う役割があります。それに対してCSIRTは重大インシデントの解析(影響範囲の特定)や止血対応等の対処復旧活動、セキュリティ機器の導入や各組織への啓蒙活動を行います。

CSIRTは、セキュリティ対策について司令塔の役割を果たします。インシデントが発生した場合、被害を最小化するには初動対策が不可欠です。社内での調整をして部門間の連携を図り、事後報告先をどこにすればいのか、どのような技術的な支援が必要か、被害を最小化するにはどのような処置をするべきかを、迅速に判断しなければなりません。

そのためCSIRTは社長直轄の組織として組織横断で活動するケースが多くなっています。この場合、CISO(Chief Information Security Officer)をトップとして専任のセキュリティ担当者と、各部門から兼任メンバーを集めて構成することになるでしょう。
SOCは、CSIRTの下部組織として配置されることもあれば、情報システム部門のチームとして配置されることもあります。またSOCを外部に委託するケースも少なくありません。

SOCの業務範囲

SOCの業務範囲は、企業・組織によって異なります。SOCの業務がどこまでの範囲なのかをご紹介する前に、セキュリティ対応とはどのような仕事があるのか、NPO日本ネットワークセキュリティ協会(JNSA)が2023年2月に発表した「セキュリティ対応組織の教科書第3.0版」の定義をもとに簡単にご紹介します。

A) 組織運営
何をどう守っていくのか活動内容を決定し、各組織と連携しながら旗振り役を務めます。また、セキュリティ事故が起こってしまった時の対応優先度や対処方針の決定等を行います。

B) 即時分析
セキュリティ製品のログを常時監視して、マルウェアの感染がないか等を分析し、インシデントを発見します

C) 深掘分析
発見されたインシデントについて、どんな攻撃手法でどんな被害を受けたのか、より深い分析を行います。

D) インシデント対応
起きてしまったインシデントについて、被害を限定的にする処置をしたり、原因となったシステムを安全に復旧したり、といった対処を行います。

E) セキュリティ対応状況の診断と評価
脆弱性診断や仮の標的型メールを送って社員がクリックをしないようにする訓練等を通じて、セキュリティが守られているかを評価します。

F) 脅威情報の収集・分析・評価
公開されたセキュリティ情報を収集し、未対応の脅威がないかを確認します。社内で発生したインシデントに関する情報を集め、中長期的な改善案を整理します。

G) セキュリティ対応システム運用・開発
ネットワークセキュリティ製品の設置・設定・運用を行います。またSIEM(Security Information and Event Management:シーム)に代表されるIT機器のログを一元的に蓄積して分析する基盤を導入・運用します。

H) 内部統制・内部不正対応支援
社内の内部統制や内部不正について、ネットワークやパソコン操作のログを提供・分析して総務や法務を支援します。

I) 社員への啓蒙活動と外部組織との積極的な連携
外部組織や他企業のセキュリティ人材と情報交換を行い、最新のセキュリティ情報を収集します。また従業員に対してセキュリティ意識を高め、各部門でセキュリティ対策を検討する際に知見を共有するための支援を行います。
多くの場合、SOCの業務範囲はB(即時分析)やC(深掘分析)となります。それ以外の仕事をCSIRTが情報システム部門や事業部門、管理部門と連携しながら進めていきます。なぜこのようなケースが多いかと言うと、B(即時分析)やC(深掘分析)は業務プロセスや組織と切り離した対応ができるため、外部委託しやすいという背景もあります。

D(インシデント対応)については内容によってSOCで対応できるものもあるため、CSIRTと臨機応変に役割分担をしていく必要があります。

SOCを社内に構築する際の課題

SOCについては、CSIRTと密接に連携するために内部組織として検討する企業も少なくありません。しかしSOCを社内に構築するには様々な課題があります。

●24時間365日の監視体制を作ることが難しい
SOCの使命は1秒でも早くインシデントを検出することです。そのため24時間365日の監視体制を取る必要がありますが、社内のリソースが不足する可能性があります。

●アナリストの確保が難しい
ネットワークに配置する情報セキュリティ機器を分析するには、ネットワークに関する知識が必要です。またイベントによっては、通信パケットを確認する必要があるため、通信プロトコルに応じたパケット構造の知識が求められます。SOCでは分析・判断にスピードが求められるため、こうした高度な知識をもとに分析できるアナリストが必要となりますが、セキュリティ人材の慢性的に不足する現状では高スキルを持つ人材の確保が難しいのが実情です。

●ログ分析の処理量が増大してインシデントの判断に手間がかかる
インターネットでやり取りするデータが増えるにつれて情報セキュリティ機器から出力されるログやアラートが増大し続けています。こうしたアラートにおいては誤検知や攻撃の失敗が占める割合が多く、インシデントかを判断するにはアナリストの分析が必要となるため、アナリストに負担がかかっています。

外部委託するメリットは何か

このように社内にSOCを構築するには様々な課題があります。自社でSOCを構築するのが困難な場合は、SOCを専門とするセキュリティ会社に外部委託するのも選択肢のひとつです。
SOCサービスを提供する会社には24時間365日監視する体制があり、セキュリティオペレーターとアナリストが異常の検知や分析、インシデントの対応をスピーディーに行います。世界的なインシデントの発生傾向を把握し、セキュリティベンダーから漏れなく収集した情報を運用に活用できるのも、SOC運用のノウハウがあるからこそと言えます。

外部委託できる部分は任せ、自社ではインシデントが発生してしまった際に対応できる体制を整備することに集中できます。
「SOCを構築したいけれど、人的リソースやコストが心配…」という企業にとって、SOCの外部委託は心強い味方となるでしょう。

この記事の著者

アバター画像
ReSM(リズム)サービス担当者
ReSMサービスはシステム運用の「 {re} design 」をコンセプトに、 「最適な運用」を「最適な価格」でご提供するマネージド・サービス・プロバイダーです。 クラウドの導入支援から安心の運用監視・保守までをトータルでご提案できます。

お問い合わせ

依頼内容に迷っているときは、課題の整理からお手伝いします。
まずはお悩みをご相談ください。

  • システム運用監視・保守サービスReSM(リズム)ご紹介資料

    クラウドの導入から24時間365日のシステム運用監視まで、ITシステムのインフラをトータルでサポートするReSM(リズム)サービスについて詳しく説明します。

  • 4つのポイントで学ぶ「失敗しないベンダー選び」

    運用アウトソーシングを成功させる第一歩は、サービスベンダーの選択です。この資料ではサービスベンダーを選択するポイントを4つ紹介します。

お電話でのお問い合わせも
受け付けています。

03-6914-5215 平日 9:00 - 17:00
03-6914-5215 平日 9:00 - 17:00