セキュリティオペレーションセンター

セキュリティオペレーションセンター (: Security Operation Center;SOC) とは、顧客または自組織を対象とし、情報セキュリティ機器、サーバコンピュータネットワークなどが生成するログを監視・分析し、サイバー攻撃の検出・通知を行うことで、サイバーセキュリティ態勢を改善し、脅威を阻止する集中管理機能もしくはセキュリティ組織のこと。[1][2]

複数の国にまたがる大規模な組織では、グローバルセキュリティオペレーションセンター(GSOC)と呼ばれる上位セキュリティ組織が存在する場合がある。

概要

[編集]

組織のITシステムに対するネットワーク不正侵入、DDoS攻撃ワームなどのサイバー空間の脅威に対応するために、その組織内に構成されるか、外部に委託(アウトソーシング)される。

企業などの組織では、従来はサーバ・ネットワーク分野の技術者脅威に対応していたが、近年のサイバー攻撃の高度化に伴い、情報セキュリティ特化した技術者対応するようになってきた。

機能

[編集]

SOCは攻撃の予防、応答、復元をサポートするために、次の機能を担っている。ただし、企業組織によって大きく異なる場合がある。

攻撃の未然的な予防

[編集]

攻撃する隙になってしまう脆弱性修正したり、新たな脅威調査を行って分析し、先に対処しておくことで攻撃自体を予防する。更新プログラムなどを適応して最新のパッチにしておくのもこれに含まれる。

機器の監視

[編集]

組織内のクラウドアプリケーションなどのネットワークデバイスの全てを24時間無休で監視する。具体的には(正常なものを含む)操作が行われた際に生成されるログデータ収集監視分析や、機器の動作(通常と異なる動作をしていないかなど)の監視を行う。

これらの監視と分析によってマルウェアである可能性のある異常を明らかにし、削除隔離などの対処を行う。

サイバー攻撃からの復旧

[編集]

サイバー攻撃を防ぐことができず、被害を受けてしまった際は、ビジネスにできるだけ支障のないようにする被害の縮小と、組織を元の状態に復旧する作業の両方を行う。

被害の縮小のためには、影響を受けたエンドポイントアプリケーションシャットダウン隔離マルウェアに感染したアカウントファイルの削除、セキュリティソフトの実行などが行われ、復旧のためにはアプリケーションの再起動バックアップシステムへの切り替え、バックアップデータからのバックアップを行う。

根本原因の調査

[編集]

同様攻撃が再び発生しないようにするために、原因となった脆弱性不備特定し、再発防止に努めるのもSOCの重要役割である。

CSIRTとの違い

[編集]

CSIRTインシデントなど、サイバー攻撃が発生した際に主に対応する組織に対して、SOCはインシデントの検知や対策を主に行う組織であるといわれているが、最近は業務範囲にはっきりとした区別がなくなってきている。[3]

分類

[編集]

監視対象による分類

[編集]

SOCは、その監視対象によって次の二つに分類できる。

MSSは主に顧客向け商用サービス、ディープSOCは組織内での対応または被害が顕在化した際のスポット契約として実施されてきた。これはサーバ、OS、NW、DBのログには顧客情報や営業上の秘密が記録されていて、社外に提示することがリスクとなるからである。

しかし、近年ではMSSをする企業がディープSOC分野に進出したり、組織内ディープSOCがMSSを開始したりして、区別があいまいになっている。

組織での分類

[編集]

自組織だけにサービスを提供するSOCをプライベートSOC、商用またはグループ企業群に対してサービスを提供するものをパブリックSOCという。

近年、SOCは組織において必要なものとの認識が広がり、主に大企業を中心に自社内にプライベートSOCを組織する流れが加速している。ただし、次節に示す課題があるので、SOCを組織して継続的に運営していくのは、コンサルティングサービスを利用しても難しい。

課題

[編集]

SOCをアウトソーシングする場合には、次の課題がある。

  • コスト: 監視ポイントあたり年間数百万円の費用が生じる。SOC提供側がセキュリティ強化提案を実施すれば、情報セキュリティインシデントが起きにくくなる。幸いにしてインシデントがないとき、サポート費用と同様にムダ金と捉えられて削減の対象となりやすい。
  • 情報管理: 守秘義務契約を契約に盛り込むとはいえ、顧客情報・営業上の秘密が間接的・直接的に外部の人間に参照されてしまう。委託元が別契約で顧客と守秘義務契約内で第三者への情報開示を禁じているときに、この問題が顕在化する。
  • 業務範囲: 一般的なSOC商用サービスはMSSなので、脅威情報の通知は受け取れるが、対応は顧客が行うことになる。顧客自身が受け取った脅威情報への対処が難しい場合、別の外部企業(構築を請け負った企業)に対応を依頼する必要があり、要求の伝達が難しいことがある。

SOCを自組織内で組織する場合には、次の課題がある。

  • 人材育成: 情報システムサービスを主な生業としていない企業のとき、セキュリティ人材の育成は困難を極める。セキュリティ機器に精通していることはもちろん、OS、NW、DBなどの要素技術とコード・スクリプトについての知識が要求される上、最新の脅威に対応するために幅広い教育が継続的に必要となる。
  • キャリア: 商用サービスを提供する企業以外では、SOCをするという前提で入社する社員はいない。一般企業では、通常はセキュリティアナリストなどのポストはなく、SOCを経験した後のキャリアパスを描くことが社員側・管理職側ともに困難である。
  • 人材流出: サイバー攻撃は目に見えず、攻撃数の推移などは外部要因によるので、評価が困難になる。金銭的・身分的なインセンティブを与えることも困難である。体力が要求される365日24時間対応によって疲弊して退社するか、高給なセキュリティ企業への転職をせざるをえないことがある。

脚注

[編集]