SOCサービスを利用する上で知っておきたい必要な選定ポイントとは？

サイバー攻撃が高度化し、深刻な被害をもたらすインシデントが後を絶ちません。攻撃による被害を未然に防ぎ、発生してしまった被害を最小化するためには、24時間365日ネットワークを監視し、いち早く攻撃を検知するSOCのような専門組織が不可欠です。
自前でSOCを構築するのが難しい場合は、SOCサービスを活用する方法もあります。本記事では、SOCサービスを利用する上で、どんなことに気を付けて選定すればよいかをご紹介します。

今求められるSOCとは

2020年12月に経済産業省は「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」を発表しました。公開された資料によると、一般社団法人JPCERT/CCに寄せられたインシデント（重大な事件・事故に発展する可能性を持つサイバー攻撃）の相談件数は、新型コロナウイルスの感染が拡大した2020年3月頃から急激に増加しました。
未曽有の混乱につけこみ、攻撃者が企業や政府機関にサイバー攻撃をしかけるケースが増えています。

最近のサイバー攻撃の特徴は、より巧妙により複雑になっているということです。IPA（独立行政法人 情報処理推進機構）が発表した「情報セキュリティ10大脅威 2023」ではランサムウェアによる被害が昨年に引き続き第1位になりました。ランサムウェアとは、マルウェア（悪意のあるソフトウェア）の一種です。システムを暗号化し使用できない状態にして、復旧と引き換えに復旧に金銭を要求する手口です。

さらに「金銭要求に応じなければ窃取した個人情報を公開する」と二重に脅迫する場合もあります。標的となる企業に直接侵入するだけでなく、比較的セキュリティ強度の低い取引先企業を踏み台にして攻撃する「サプライチェーン攻撃」を組み合わせることも多くなっています。
このように被害の形態は、様々な関係者を巻き込む複雑なものになってきました。どの企業でもFW（ファイアーウォール）やIDS（侵入検知システム）といった外部からの侵入から防御する情報セキュリティ機器やマルウェアの感染を防ぐアンチウイルスソフトを導入しています。しかし100％防御することは難しく、攻撃をいち早く検知して被害を最小化することが求められます。

その重要な役割を果たすのがSOC（セキュリティ・オペレーション・センター）です。SOCは24時間365日ネットワークを監視し、サイバー攻撃の検出・分析を行う役割を持ちます。ネットワークから収集される膨大なログから、重大なインシデントを見つけるには高度な専門性が要求されることから、専門部署として機能させる必要性が高まっていると言えます。

SOCの導入は、企業にとって様々なメリットがあります。

●法規制への対応
2022年4月の個人情報保護法改正により、情報漏えいの報告が義務化されました。個人情報の取り扱いについて企業に課せられる責任や義務、罰則が強化されています。情報漏えいを早期の検知・対応ができるSOCの導入は、法令順守に必要な措置の一つと言えます。

●ビジネスの継続性
日本国内でもサイバー攻撃によって基幹システムやバックアップ用のサーバーのデータが暗号化され、三期連続で四半期報告書の提出期限の延長申請を余儀なくされたというケースもあります。SOCを導入することで、早期の攻撃検知や対応によって被害を最小化でき、ビジネスの継続性を確保することができます。

●組織の信頼性向上
サイバー攻撃は自社だけでなく取引先や顧客にも大きな影響を及ぼすようになりました。SOCを導入することで情報漏えいやサイバー攻撃を未然に防ぐことで、組織の信頼性を向上させることができます。また企業の情報セキュリティ対策の取り組みとして投資家や株主から評価されることが期待できます。
このようにSOCは企業経営において不可欠な施策のひとつと言えるでしょう。

SOCをアウトソーシングすべき理由

前章でご紹介したようにサイバー攻撃による被害への対処は企業の信頼性に直結することから、SOCを設置する企業が増えています。しかし自前で設置するのは大手企業の一部に限られ、多くの企業は外部委託（アウトソーシング）を選択しています。アウトソーシングする理由としては次のようなことが考えられます。

●セキュリティ人材の不足
サイバー攻撃の手法は日々複雑なものになっています。世界的な傾向を把握し、重大なインシデントを検出するには高度な専門性を持った人材が必要です。しかし技術者が不足している中、セキュリティに特化した人材を育成するのが難しくなっています。そこで外部の知見を活用し、自社のリソースを効率化する観点でアウトソーシングをする企業が増えました。

●コスト削減
24時間365日ネットワークを監視する体制を作るのは、多くの企業にとって簡単なことではありません。ネットワーク製品・セキュリティ製品が出力する大量のログを一元的に管理するSIEM（Security Information and Event Management）の導入も必要になってきます。アウトソーシングであればこのようなシステムや人的リソースへの投資が不要になります。

●自社でしかできないセキュリティ対策に集中できる
今やセキュリティは、事業と切り離せない問題となっています。セキュリティサイバー攻撃だけでなく、内部不正や内部統制も含まれます。例えばサプライヤー、顧客も含めた事業モデルと業務プロセスにおいて「守るべき資産は何か」「その資産にはどのような脅威が考えられるか」「脆弱性はないか」といったことは事業や業務を担当する人しか判断できません。そのため各部門においては、事業に精通しつつセキュリティ知識を兼ね備える「プラス・セキュリティ人材」が必要とされています。
一方で、SOCの機能自体は事業から切り離して実施することが可能なため、アウトソーシングしやすい領域と言えます。アウトソーシングすることで自社でしかできないセキュリティ対策に集中できます。

SOCソリューションの導入メリット

最近ではSOCを専門とするセキュリティ会社がソリューションを提供しています。SOCソリューションを導入すると、次のようなメリットがあります。

●サイバーセキュリティ専門家との連携
SOC機能をアウトソーシングすることで、ツールの使用法や監視方法、監視結果の分析について、専門家の知見を活用できます。前章でご紹介したように攻撃手法は巧妙になっています。セキュリティベンダーと連携して世界的なインシデントの傾向を把握するSOCソリューションの専門性は、適切な防御をするための力となります。

●インシデント対応を効率化
インシデント対応においては、ネットワーク環境の対処で解決するものもあれば、各部署や取引先と連携して対応しなければならないものもあります。SOCソリューションを活用すれば、SOCチームが解決できるインシデントについては自己対応し、会社全体で対応するべきものに対しては専門的な見地からアドバイスをしてくれるため、自社の対応が効率化できます。

●対象範囲を柔軟に拡張できる
セキュリティへの投資は企業の売上・利益に直結せず投資効果が見えにくいため、意思決定が難しい領域です。そこで例えば監視対象をFWやIDSといったセキュリティ機器に限定するといった形でスモールスタートし、徐々に範囲を広げてセキュリティを強化していくといった方法も考えられます。SOCソリューションにおいては、柔軟な拡張が可能です。

SOCソリューション 選定のポイント

様々なSOCソリューションが登場しています。数あるSOCソリューションをどのような基準で選んだらよいのか、ポイントをご紹介します。

●マルチベンダーに対応しているか
企業のネットワーク環境は、多様な製品で構成されています。SOCソリューションで対応可能な製品・メーカーが限定されてしまうと、導入した効果が得られません。対応内容に制約条件があるのかを確認しておきましょう。

●24時間365日稼働できる体制が構築されているか
24時間365日監視し、インシデントを検知する体制を構築するには、ある程度の人数を確保する必要があります。しっかりした体制が取られていなければ、トラブルが頻発することにもなりかねません。役割と対応人数について体制を確認しておきましょう。

●自社の状況に適したメニューが用意されているか
SOCソリューションによっては顧客のニーズに合わせて様々なメニューを提供しています。ソリューションによっては、セキュリティ教育サービスや人材育成支援、セキュリティの相談窓口を提供している場合もあります。自社の状況に適したメニューがあるのかを詳細に確認しておきましょう。

SOCソリューション 活用ケーススタディ

SOCソリューションをどのように活用しているのか、経済産業省が2021年4月に発表した「サイバーセキュリティ体制構築・人材確保の手引き」をもとに実際の活用例をご紹介します。

●ネットサービスの活用例
デジタル系のシステム・サービスを開発・運用している企業の事例です。セキュリティを事業部門に任せてしまうと、事業を優先して重要度を下げられる恐れがあったため、管理部門にセキュリティ統括機能を持つ組織を置いて、事業部門に対してガバナンスを利かせています。従業員数が少ないため、SOCソリューションを活用し、初動対応や原因究明も含めてセキュリティ監視を外部に委託しています。

●製造業の活用例
製造業においては、顧客に提供する製品の品質管理上のセキュリティ、製造設備のセキュリティ、それ以外の自社のデジタル環境についてのセキュリティがあります。そのため、この事例ではそれぞれの領域にセキュリティを統括する組織を配置しています。セキュリティ監視・運用を自社で行うか、外部委託するかはセキュリティを統括する組織によって判断しています。

●重要インフラ事業者の活用例
電力・ガスといった重要インフラ事業者の活用例です。情報系ネットワークは一元管理され、事業部門では、プラント専用の独立性の高いOT（Operational Technology：工場やプラント、ビル等の制御機器を制御するシステム）環境を運用しているため、OT環境の管理単位ごとにセキュリティを統括する組織を設置しています。情報系ネットワークとそれぞれのOT環境には保守・運用部署があり、そこでセキュリティ監視・運用を行っていますが、部門間を結ぶネットワークや社外とのネットワークについては外部に委託しています。

自社の状況に最適なSOCソリューションの活用を

冒頭でご紹介した「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」が経営者に向けて発表されたのは、サイバー攻撃の潜在的なリスクが高まり、企業活動への影響を懸念していることが背景にあります。セキュリティ対策を重要な経営課題と捉え、会社全体でセキュリティ対策に向き合う必要があります。

セキュリティを強化するにあたりSOCの導入は大きなメリットがあります。インシデントの早期検知、早期収束はSOCなくして実現はできません。また攻撃の実態を見える化することで、強化に向けての計画が立てやすくなるという効果もあります。

とはいえSOCをいきなり自前で設置することは困難です。外部の知見を取り入れるという意味でも、SOCソリューションの活用は有効な選択肢と言えます。ケーススタディを見てもわかるように、ネットワーク環境やITに配分できるリソースは、企業によって千差万別です。SOCソリューションの活用方法も企業によって最適な方法を選ぶ必要があります。SOCソリューションを上手に活用すれば、セキュリティ強化に向けて大きな一歩となるでしょう。

システム運用担当者さま必見！お役立ち資料

ゼロトラスト時代、変化するセキュリティトレンドと今後の対策が分かるお役立ち資料です。

この記事の著者

ReSM（リズム）サービス担当者

ReSMサービスはシステム運用の「 {re} design 」をコンセプトに、 「最適な運用」を「最適な価格」でご提供するマネージド・サービス・プロバイダーです。 クラウドの導入支援から安心の運用監視・保守までをトータルでご提案できます。