SOC(Security Operation Center)とは?主な業務内容や運用形態、構築する際のポイントを徹底解説
「SOCとは?どのような役割を担っているのか知りたい」という疑問がある方も多いのではないでしょうか。
SOC(Security Operation Center)は、サイバー攻撃の検知、ログ分析、インシデント対応など、セキュリティ運用の中核を担っています。
ただし、SOCの構築・運用には高度な専門性と多大なコストが必要となるため、設置するにあたっては慎重に検討することが大切です。
この記事では、SOCの概要や役割、運用形態、構築のポイントについて詳しく解説します。
目次
[ 開く ]
[ 閉じる ]
- SOCとは
- CSIRTとの違い
- MDRとの違い
- SOCが必要とされる背景
- SOCの主な業務内容
- アラート監視
- 分析・調査
- インシデント管理・定期報告
- 監視体制維持・SIEMの機能維持管理
- SOCが使用するツール
- ログ収集センサー
- 分析ツール
- SOCの運用形態|内部SOCと外部SOC
- 内部SOC
- 外部SOC
- SOCを構築するために必要なこと
- IT資産・情報資産の監視システム導入
- セキュリティ人材の採用・育成
- 業務の手順・ルールの見直し
- SOCサービスの種類と選び方
- 認定セキュリティエンジニアの有無
- 情報セキュリティサービス審査登録
- セキュリティ標準規格の認定
- SOCサービスベンダーのセキュリティ
- サイバー攻撃の監視・防御ならGMOサイバーセキュリティ byイエラエのSOC
- まとめ
SOCとは
SOC(Security Operation Center)とは、保護すべきシステム、ソフトウェア等のログやネットワーク機器の監視を行い、発見した脅威に対して対応を行うセキュリティ部門やチームのことです。
「ソック」と呼ばれており、主にIT機器やネットワークなどの監視・分析とサイバー攻撃の検知を行います。
なお、SOCと似た用語に「CSIRT」「MDR」があります。いずれもサイバーセキュリティに関連する単語ではあるものの、指している対象が異なります。
したがって、SOCとは別物であり、注目度も異なることを覚えておきましょう。
| 用語 | 役割 |
|---|---|
| SOC | IT機器やネットワーク、デバイス、サーバーなどの監視と分析・サイバー攻撃の検知などを行うセキュリティ部門やチーム |
| CSIRT | セキュリティインシデントの対応を主目的とする部門。SOCと同じような業務を行うが実際に起こったインシデントの対応を担当する立場 |
| MDR | サイバー攻撃の検知・対応をする外部サービスやベンダーのこと。社外にあるサイバーセキュリティチーム |
【関連記事】サイバー攻撃とは?手口の種類や事例、最近の動向と対策を詳しく紹介
CSIRTとの違い
CSIRT(Computer Security Incident Response Team)は、セキュリティインシデントに対応する部門です。読み方は「シーサート」です。
セキュリティにおけるインシデントとは、マルウェア感染や機密情報の流出をはじめとする脅威のことを指し、これに対処する部門と覚えておけば良いでしょう。
SOCと混同されがちですが、CSIRTは実際に被害が起きた後に対応するのに対し、SOCはインシデントが発生していないかを監視する立場という違いがあります。
どちらも重要な立場ではあるものの、未然にサイバー攻撃を防ぐという意味でSOCの需要が高まっているのです。
CSIRTも重要なポジションであることに変わりはなく、優劣関係にあるわけではありません。
MDRとの違い
MDR(Managed Detection and Response)は、SOCやCSIRTの役割を代行するサービスやベンダーを指します。
企業内部でセキュリティ部門が結成できない場合、MDRにその役割を一任することができます。
人材登用や育成が難しいため、契約と同時にサイバーセキュリティを担当する機関ができるのがメリットです。
その反面、MDRに頼りきりになることで社内人材の育成の意識が薄くなってしまうデメリットもあります。
MDRで代行を依頼しつつ、同時進行で自社のセキュリティ部門結成に向けた人材育成・採用をすすめるのがベストです。
SOCが必要とされる背景
SOCが必要とされる背景には、IT活用が各方面に広がったことがあります。
政府主導でDX化を推進していますが、その反面で多くの企業がDX化することによってサイバー攻撃のリスクにさらされるようになりました。
また、DX化推進の弊害として多様化したデバイスやシステム環境が挙げられます。
デバイスやシステム環境が多様化したことにより、外部ネットワークとの接続が増加した結果、攻撃をされる経路が多様化・複雑化し、担当者だけでは対応が難しくなりました。
企業内担当者だけでは対応できないケースも珍しくなく、結果的に対応が後手に回ってしまう可能性も否定できません。
同時に、近年のサイバー攻撃が高度化した関係で、対応が難しくなってしまった側面もあります。
さらに、セキュリティの監視は24時間365日実施しなければなりません。当然少人数でできるものではないため、チームとしてSOCを組んでおく必要があるのです。
SOCはサイバー攻撃を受けてしまう前に監視をしておくことで、受ける被害を最小限に抑えられる可能性があります。
IT活用が企業にとって当たり前になった今、以前よりもSOCは不可欠な存在になりつつあるのです。
SOCの主な業務内容
SOCは組織のセキュリティインフラを24時間体制で監視し、セキュリティインシデントに迅速に対応します。
これにはアラートの監視、インシデントの分析・管理、及び報告などが含まれます。
アラート監視
SOCはシステムからのアラートをリアルタイムで監視し、疑わしい活動を迅速に検出します。
ファイアウォールやIDSなどのセキュリティ機器から送られてくる膨大なアラートの中から、「本当に対応が必要なもの」を見極めます。
実際に不正アクセスの兆候が見られた場合、ただちに関係部署に連絡し、適切な対処を指示するのも役割の1つです。
日々の地道な監視活動が、セキュリティ事故の防止に繋がります。
分析・調査
アラートの原因を特定するために、SOCでは詳細な分析と調査を行います。
このプロセスには、利用可能な全てのデータソースからの情報収集が含まれます。
例えば、ログデータやパケットデータ、マルウェアサンプルなど、あらゆる角度から分析を行い、脅威の全容を明らかにするのです。
また、新たな脅威への対策を立案するために、不正なプロセスの有無、不正なレジストリ情報の有無なども収集・分析します。
それに加えて、外部機関から最新の脅威情報の提供を受けた時にも、SOCが中心になって分析や調査を行います。
インシデント管理・定期報告
インシデントが確認された場合、SOCは対応計画に従って迅速に行動を起こします。
通常、インシデントへの対応はCSIRTが担当するケースが多いですが、SOCが率先して携わる場合もあります。
▼インシデント管理の具体例
- 影響範囲の特定
- 原因究明
- 封じ込め
- 復旧
これらの一連のプロセスを管理するのがSOCの重要な役割です。
また、定期的な報告を通じて、組織のセキュリティ状況を管理層へ報告します。
報告内容には、インシデントの発生日や事象、影響、対応方針などが含まれます。
監視体制維持・SIEMの機能維持管理
SOCが効果的に機能するには、監視体制を常に最適な状態に保つ必要があります。
そのために、システムとプロセスの維持管理や、監視メンバーによるローテーション管理なども欠かせない業務となります。
特にSIEMはSOCの中核をなすツールの1つです。
SIEMの機能を十分に活用するためにも、ルールの作成や調整、継続的なチューニングが欠かせません。
SOCが使用するツール
SOCが使用するツールは、大きく「ログ収集センサー」と「分析ツール」の2種類に分けられます。
ここでは、この2種類の詳細について解説します。
ログ収集センサー
ログ収集センサーは、ネットワークやデバイスからのログデータを収集し、異常がないかを監視するツールです。
エンドポイント、サーバー、ネットワーク機器など、あらゆるシステムから生成されるログを一元的に管理することで、包括的な可視化を実現します。
▼ログ収集センサーとなり得るもの
- PC
- サーバー
- プロキシ
- ファイアウォール
- VPN機器
- セキュリティ対策製品
このように、さまざまなものがログ収集センサーとなり得ます。
収集したログはセキュリティ事件の検出と分析の基盤となるため、その重要性は極めて高いといえるでしょう。
分析ツール
分析ツールは、収集したログを用いて詳細な分析を行うためのツールです。
大量のログから脅威を正確に見つけ出すには、高度な相関分析が欠かせません。分析のための具体的なツールには、以下のようなものがあります。
| ツール | 内容 |
|---|---|
| SIEM | ログの相関ルールを用いて、複雑な攻撃パターンを検知する |
| SOAR | アラート対応の自動化・効率化を支援するツール |
| XDR | エンドポイントやネットワーク、クラウドのデータを統合的に分析するツール |
SOCでは、これらの分析ツールを駆使して、サイバー攻撃の予兆を早期に発見し、被害を未然に防ぐことが求められます。
【関連記事】SIEMとは?主な機能と導入するメリット・デメリットを徹底解説
SOCの運用形態|内部SOCと外部SOC
組織は自社のニーズに応じて、内部SOCと外部SOCのいずれかを選択します。
以下、内部SOCと外部SOCのメリット・デメリットについて解説します。
内部SOC
内部SOCは、自社の従業員とリソースを使用して内部で運用するSOCです。
組織内に完全に統合され、カスタマイズが可能であるというメリットがあります。
また、自社のセキュリティポリシーに合わせて、きめ細かな監視・対応ルールを設定することも可能です。
一方で、内部SOCの構築には高額な初期投資と維持費用が必要であり、専門知識を持つセキュリティ人材の確保が必須となります。
セキュリティ人材の不足が叫ばれる中、人材の採用・育成には多大な労力を要するのが現状です。
さらに、最新の脅威情報や分析ツールへのアクセスが限られるという課題もあります。
▼内部SOCのメリット・デメリット
- メリット:自社のセキュリティポリシーに合わせた監視・対応・カスタマイズが可能
- デメリット:高額な初期投資と維持費用がかかり、セキュリティ人材の確保が必須
外部SOC
外部SOCは、専門的なサービス提供事業者が運用するSOCです。
自社でSOCを運用する場合に比べて、コストを抑えられるメリットがあります。
また、人材確保や設備投資が不要であり、初期コストを大幅に削減できるのも利点の1つです。
セキュリティベンダーの豊富な経験と高度な技術力を活かすことで、高品質な監視・対応サービスを受けられるでしょう。
ただし、自社に応じたカスタマイズが難しいほか、組織の内部情報を外部に依存するためのセキュリティ懸念が伴います。
機密データの取り扱いについては、十分な契約上の取り決めが必要となります。
▼外部SOCのメリット・デメリット
- メリット:人材確保や設備投資が不要で、初期コストを大幅に削減可能
- デメリット:自社に応じたカスタマイズが難しく、内部情報のセキュリティ懸念がある
SOCを構築するために必要なこと
SOCを構築しても、適切に運用できなければ意味がありません。
SOCを自社で構築するには、以下のポイントを押さえておく必要があります。
IT資産・情報資産の監視システム導入
IT資産とは物理的・システム的なITに関わるものを、情報資産は電子データを指します。これらを安全に管理するためには、監視システムの導入が必要です。
先述の通り、監視は24時間365日休みなく実施しなければなりません。
また、遠隔から一元管理できる体制も求められており、人海戦術でどうにかなる問題ではないでしょう。
これらの課題を解決するため、監視システムを導入しなければならないのです。監視する範囲は各種デバイスのほか、以下のものが該当します。
▼監視する主な範囲
- PCの操作ログ
- Web閲覧履歴
- メール送受信履歴
上記がいつどこで、誰がどのように何をしたのかを把握できるシステムを導入しなければなりません。
これらの要素が監視できないと、SOCを構築した意味がなくなってしまいます。
セキュリティ人材の採用・育成
「MDRとの違い」でも解説した通り、一時的にMDRを契約して体制を整えたとしても、自社でセキュリティ人材を採用・育成する流れも整えておかなければなりません。
セキュリティ部門を創設するには相応の費用などが必要になるため、総合的な判断と決定が求められます。
また、企業がセキュリティのために人材を募集しても反応が薄い可能性があります。
セキュリティに対する基本理解が低い企業では、採用しても戦力にならないのではないかと思われてしまうでしょう。
採用と人材教育と同時に、企業内にサイバーセキュリティに対する危機感と重要性の共有が必要です。
業務の手順・ルールの見直し
SOCを構築すると、従来の業務やルールを見直したり、新たに策定し直したりする必要が出てきます。具体的には、以下のようなものがあります。
▼見直すべき手順やルール
- 私物デバイスの利用制限
- USBをはじめとする記録媒体の使い方
- 閲覧権限を付与する人物の決定
上記以外にも、多くの業務やルールの見直しが必要です。同時にこれらを違反した場合の処罰規定も作成しておくと良いでしょう。
SOCを構築するだけではなく、全従業員に対してセキュリティリテラシーを意識させることが大切です。
SOCサービスの種類と選び方
SOCサービスには大きく、「EDR製品の運用に対応するタイプ」と「幅広い製品の運用に対応するタイプ」の2種類があります。
それぞれ特徴が異なるため、この種類を考慮に入れた上で、以下のポイントを押さえることが大切です。
認定セキュリティエンジニアの有無
SOCサービスを選ぶ際は、認定を受けたセキュリティエンジニアがサービスを提供するかどうかを確認すべきです。
セキュリティ分野には、「CEH(認定ホワイトハッカー)」や「CND(認定ネットワークディフェンダー)」など、さまざまな専門資格が存在します。
これらの認定を保有するエンジニアは、高度な知識と技術を備えているといえるでしょう。
高い専門性と認定はサービスの質を左右する重要な指標となるため、エンジニアの資格保有状況を確認することが重要です。
情報セキュリティサービス審査登録
経済産業省では「情報セキュリティサービス審査登録制度」が運用されており、この登録状況を確認するのもポイントの1つです。
この制度では、サービス提供者が情報セキュリティに関する基準を満たしているかどうかを確認できます。
審査登録を受けたベンダーからのサービスは信頼性が高いといえるため、サービス選定時には必ず確認するようにしましょう。
登録状況については、「情報セキュリティサービス台帳」から確認できます。
セキュリティ標準規格の認定
提供されるSOCサービスが、セキュリティ標準規格の認定を受けているかどうかも重要なポイントです。
各業界によって認定の種類が異なり、具体的には「PCI DSS」や「FedRAMP」などが挙げられます。
「PCI DSS」は、クレジットカード業界におけるセキュリティ基準であり、カード情報を扱うシステムに適用されます。
一方、「FedRAMP」はクラウドサービスに求められるセキュリティ標準です。
自社のビジネス領域に適した規格の認定を受けているかどうかを確認し、サービスの適合性を見極めることが大切です。
SOCサービスベンダーのセキュリティ
より強固なセキュリティ環境を整えたいなら、SOCサービスベンダー自身のセキュリティを確認しましょう。
ベンダーがサイバー攻撃を受けてしまっては、委託したSOCサービスの運用にも支障をきたしかねません。
ベンダー自体のセキュリティが確保されていない場合、顧客情報の漏洩や不正アクセスに繋がるリスクがあります。
主に以下のような項目を確認すると良いでしょう。
▼確認すべきセキュリティ項目
- セキュリティポリシーの整備状況
- 従業員教育の徹底度合い
- インシデント対応体制の確立
また、第三者による監査の実施状況や、セキュリティ関連の認証取得状況なども重要な判断材料となります。
サイバー攻撃の監視・防御ならGMOサイバーセキュリティ byイエラエのSOC
画像引用元:GMOサイバーセキュリティ byイエラエ
サイバー攻撃の監視・防御を徹底し、高度なセキュリティ環境を構築したいなら「GMOサイバーセキュリティ byイエラエ」のSOCサービスがおすすめです。
また同社ではサイバー攻撃の防御・分析を集中的に行う拠点「GMOイエラエSOC 用賀」を開設、そこでSOCサービスの提供を行っております。
「GMOイエラエSOC 用賀」ではエンジニアが常駐し活用する「第一SOC」と、お客様への集中的なサイバー攻撃などの緊急時に防御・分析を行う「第二SOC」の2つで構成されているのが特徴です。
「攻め」の知見を「守り」に活用することで、より強固なセキュリティ対策を実現しています。
独自開発のログ分析基盤「SOLOBAN」を用いて、24時間365日の監視と分析を行い、攻撃の進行度合いに応じたレポートを発出します。
高度化するサイバー脅威に立ち向かうために、「GMOサイバーセキュリティ byイエラエ」のSOCを活用し、万全のセキュリティ体制を整えてはいかがでしょうか。
まとめ
この記事では、SOCの概要や役割、運用形態、構築のポイントについて解説しました。
SOCは、サイバー脅威から組織を守るための重要な役割を担っていますが、その運用には専門的な知識と体制が不可欠です。
内部SOCと外部SOCのメリット・デメリットを理解し、自社に適した形態を選択することが重要です。
サイバー攻撃の監視・防御を強化したい企業様には、「GMOサイバーセキュリティ byイエラエ」のSOCサービスがおすすめです。
世界トップクラスのホワイトハッカー集団の知見を活かし、高度な分析と迅速な対応を実現します。
文責:GMOインターネットグループ株式会社
