SOC(セキュリティオペレーションセンター)とは?中堅・中小企業の情シスが考えたいセキュリティ運用について
「SOC(Security Operations Center:セキュリティオペレーションセンター)」を社内に設置し運用する企業が増えています。SOCは企業のセキュリティ対応組織の1つで、脅威の監視や分析などの役割を担っています。では、なぜ今SOCが注目されているのでしょうか。また中堅・中小企業にとっても必要なのでしょうか。今回はSOCの概要や中堅・中小企業にとっての役割などを見ていきましょう。
なお、このnoteは主に中堅・中小規模の企業の新任情シスや兼任情シス向けの内容です。
1.セキュリティ上の脅威の監視・分析などを行う専門組織がSOC
サイバー攻撃が猛威を振るう現代社会。サイバー攻撃による被害は企業の存続を脅かすこともあり、セキュリティ対策は重要な経営課題の1つに挙げられるようになりました。企業にとってセキュリティ戦略は欠かせないものであり、中長期的な視点からセキュリティ対策を実施し改善するサイクルを回す認識が広まってきています。これを示しているのが、『セキュリティ対応組織の教科書 第3.1版(※)』に掲げられている下図です。
このプロセスに記載されたそれぞれを詳しく見ていきましょう。セキュリティ上の脅威は社内に遍在していることから、全社的に俯瞰し把握するための組織が必要です。それが戦略マネジメントを行う組織です。セキュリティ上の脅威を把握し、セキュリティ対策の定義、設計、計画、管理、認証などに関する戦略に責任を持ち、実行するための組織の検討・構築を行うことになります。
セキュリティ戦略で定められた対策を実行するためには運用・対応する組織が必要です。運用面を担う組織は、インシデント検知や分析、監視やメンテナンスを行います。これらの「分析運用を行う組織はSOCと呼ばれることが多い」と上述の『セキュリティ対応組織の教科書』にも記載されています。一方、対応を担う組織は「CSIRT※と呼ばれることが多い」と述べられています。
※CSIRT:Computer Security Incident Response Team。セキュリティインシデントが発生した際に対応する組織。読み方は「シーサート」の場合が多い。
少しまぎらわしいSOCとCSIRTですが、もう少し詳しく見ると下図のようになります。監視(検知)、分析と報告を行うのがSOCで、インシデント対応や分析依頼を行うのがCSIRTという区分になります。
図内「CDC(サイバーディフェンスセンター)」という用語は、「組織において、ビジネス活動におけるサイバーセキュリティリスクを管理するためのセキュリティサービスを提供する主体」と定義されています。少し理解が難しい用語ですが、企業全体のサイバーリスクを俯瞰して見通す存在であり、セキュリティを統括する立場と言えます。
しかし、この区分は一般的なものであり、企業の規模や組織のあり方によってSOCやCSIRTが取り扱う内容は異なると言われています。例えばSOCがインシデント対応支援を行う場合や、CSIRTが監視まで行う場合もあるといいます。明確に区分されているより、セキュリティ戦略が掲げる目的に応じて各セキュリティ対応組織が守備範囲を定めていくということになるようです。なお、このnoteでは、主にSOCに絞って内容を検討していきます。CSIRTについて詳しく知りたい方は下記のnoteをご覧ください。
2.SOCは中堅・中小企業でも必要
サイバー攻撃の脅威はいまや企業規模を問いません。規模が小さな企業であっても攻撃対象となるケースは数多くあることがわかっています。
このような状況から、中堅・中小企業もセキュリティ戦略を立てて社内にセキュリティ対応組織を整備することが欠かせません。対策のポイントとしては、サイバー攻撃のプロセスに対応して考える必要があります。
下図のようなプロセスで攻撃を受けた場合の対策を考えてみましょう。
「1 計画立案」や「2 攻撃準備」に対しての備えは難しく、「3 初期潜入]
の際にSOCなどの監視により不審な振る舞いを検知して迅速に対応を行うことができれば、侵入を防ぐことにつながることでしょう。そして、「4 基盤構築」〜「5 内部侵入・調査」に至った場合にはCSIRTなどにより、被害を最小限に食い止めるための対処を行うことになります。このように、大きな被害が出ないようにするためにも、企業を挙げてセキュリティ対応組織を考えなければなりません。
3.ケーススタディ:中堅・中小企業がSOCサービスを利用する場合
中堅・中小企業のセキュリティ対策に関するよくある課題
一方で、中堅・中小企業のリソースや費用では攻撃を検知・報告・対処したり、インシデント対応したりできる組織を持つのは難しいという声も少なくありません。
このようにセキュリティ対策について課題を抱える企業はどのようにすべきでしょうか。これら中堅・中小企業の課題を整理すると、
①セキュリティ専門家・専任担当者・技術者の不在、知識不足
②セキュリティ体制の不備
③セキュリティ対策にかかる費用・人的リソース不足
などが挙げられます。
セキュリティ戦略を策定し、サイバー攻撃対策の強化を図ったとしても、これらの理由から社内での実現が難しいというわけです。こうした課題に対して解決策の1つとして知られているのがSOCのアウトソーシングです。
SOCアウトソーシングを利用した企業の例
ここでは、ある中小企業A社がSOCサービスを利用する例をケーススタディとしてご紹介します。A社は地元の同業他社がセキュリティ被害に遭ったことをきっかけにセキュリティ対策を強化。経営と情シスが率先してセキュリティ戦略を取りまとめて、組織的な取り組みをスタートしました。
セキュリティポリシーを策定し社内教育を実施したり、出入口対策やイントラネットを管理するセキュリティ関連ソリューションを導入したりするなど、環境面の整備を進めてきました。日本政府やIPAなども取り入れているNIST(アメリカ国立標準技術研究所)のセキュリティフレームワークでは、①識別(特定)(Identify)、②防御(Protect)、③検知(Detect)、④対応(Respond)、⑤復旧(Recover)という5つの機能が定義されています。A社はこのようなフレームワークに則り対策を進めました。
しかし、「②防御」までは進められたものの、「③検知」以降にかけるためのリソースが不足していることが課題になりました。例えば、自社システムの監視を考えた場合には24時間365日体制での対応が必要ですが、社内で用意するのは困難です。また、膨大なアクセスログやアラートから危険なものを把握するのも、セキュリティ専門の人材がいない中では難しい状況でした。
そこでA社は、24時間365日体制の監視やアラート監視、分析などをアウトソーシングすることにしました。外部にSOC組織が持つ機能を委託することで、セキュリティ運用をスムーズに進めようと考えました。その内容をまとめると下図のようになり、監視や分析を含めたセキュリティ運用のサイクルを回すことができるようになりました。
こうしてA社は懸念点であった「③検知」における監視や分析をSOCサービスを用いることで対応できるようになり、セキュリティ対策の強化とセキュリティ運用の充実に成功。日々、サイバー上の脅威は増し続けていますが、持続的にセキュリティ対策が改善できる体制の構築にも成功しました。
おわりに
今回は、SOCの概要と中堅・中小企業であっても必要な理由、SOCサービスの利用イメージなどを紹介しました。組織的なセキュリティ対策への取り組みに向けてぜひ参考にしてください。
<関連記事>
<SOCサービス事例記事>
また、ソフトクリエイトは「情シスレスキュー隊」にて、情シスに役立つ様々な情報を発信しています。こちらもぜひご覧いただき、情シス業務にお役立てください。
この記事が気に入ったらサポートをしてみませんか?