
好きな所から読む
今回は緊急時のセキュリティ対応チームとして機能するSOC(Security Operation Center)について解説します。昨今の新型コロナウィルス感染症を踏まえ、セキュリティ・インシデントの際の緊急対応は急務です。そんな時に注目されるSOCについて、今回は分かりやすくまとめてみました。
⇒SOCと合わせて理解したい!ゼロトラストの原理・原則に関する資料を今だけ無料プレゼント中!
SOCとは?定義を解説
SOCとは、Security Operation Center(セキュリティオペレーションセンター)の略称で、企業のシステムやネットワークの状態を24時間365日監視する組織です。
SOCは、企業の使用しているファイアーウォールや侵入検知システムなどの監視やログ分析を行い、サイバー攻撃をはじめとしたインシデントから企業の社内システムや情報資産を守ります。
SOCは、近年はサイバー攻撃の巧妙化と企業内にセキュリティ分野の知識や技術に長けた人材が不足していることもあり、SOCを利用する企業が増えてきました。
SOCを導入するメリット
機密情報や顧客データといった情報資産の保護、社員の業務負担の軽減、セキュリティレベルの向上が、SOCを導入するメリットとして挙げられます。
情報資産の管理が行いやすくなること
情報資産を守るためのセキュリティレベルが上がるので、巧妙化するサイバー攻撃からのリスクを軽減できます。
セキュリティ分野への豊富な知識を持ったスペシャリストが、リアルタイムで不正アクセスの有無や異常を監視しているからです。
SOCはデバイス機器やネットワーク機器、クラウド上のアプリケーションを一元管理するシステムを保有しています。
たとえ、マルウェア感染やサイバー攻撃をされた場合でも迅速に対応できる体制が整っており、被害を最小限に食い止めることが可能です。
業務の効率化
社内の情報システムに関するセキュリティをSOCに一任できるため、管理者や他部門で掛け持ちしていた社員は、他の業務をこなすことや自らの仕事に集中ができます。
企業としては、業務の効率性向上と残業代のコストカットといったメリットが望めます。
セキュリティ対策の促進
情報セキュリティ分野に精通している人材が社内にいない場合、企業は情報資産を守るための有効なセキュリティ対策を取れません。
総務省が発表したデータでは、企業のセキュリティ分野における人材の不足数は約20万人足りず、中小企業の約50%が情報セキュリティ担当者がいないと発表しています。
近年は中小企業を狙ったサプライチェーン攻撃も増加しており、企業規模に関わらず情報セキュリティへの対策が急務な状況です。
SOCなどのセキュリティ対策が必要な理由
情報流出の防止、多様化する働き方への対応、社員の業務負担軽減などが挙げられます。
とりわけ情報流出への対策は非常に重要で、お金を生む対象となっている情報を守ることは、企業の利益や信用を守るためにも必要不可欠と言えます。
個人情報などを流出させないため
企業の保有する機密情報や顧客データ、従業員の個人情報は、ハッカーや犯罪者にとって大きな金銭的見返りが期待できる対象物です。
独自性の高い技術情報や機密情報は企業にとって莫大な利益をもたらし、個人情報にはクレジットカードやインターネットバンキングなどの口座情報が含まれています。
SOCは24時間社内ネットワークやデバイス機器の状態を監視しているため、不審なアクセスやインシデントを防ぎます。
一方で、外部からの情報流出だけでなく、内部漏洩の対策も十分に注意を払わなければなりません。
次に内部漏洩のケアについて触れておきます。
内部からの情報流出のケア
内部からの情報漏洩は、企業がサイバー上で脅威を感じている種類で毎年トップ10に入ります。内部からの情報漏洩への対策の難しさは現役社員と退職社員、両方のケアをしなければならない点です。まず、現役社員はシャドーITが課題として挙げられます。シャドーITは、企業が認めていないにも関わらず社員がスマートフォンやノートPC、クラウドサービスを業務に利用することです。
私物の利用はセキュリティ上の安全性が十分に確保されていない、カフェやファストフード店などでの利用が特に危険です。他者にメールのメッセージ内容が暗号化されず丸見えになるだけでなく、LINEやGmailを使っていた場合のID・パスワードのハッキングによる悪用、通信のやりとりに不正アクセスを許し、データの改ざんや悪用をされるといったリスクが考えられます。
企業が許可していない私物を持ち込んで情報流出が起きた場合、企業は莫大な経済的損失と取引先からの信用を失います。今後のビジネスが大変厳しくなり、補償額はあなた個人が補償できるレベルにありません。許可されていない私物の持ち込みは非常に危険なので、絶対に辞めましょう。
ただし、現役社員の場合はセキュリティ意識を上げる教育の徹底や罰則などを設けることで、ある程度のリスクは軽減できます。問題は退職した社員です。普段の行動の様子が見える現役社員と違い、退職した社員は行動が監視できません。
退職した社員からの情報流出事件も実際に起こっており、2015年にエディオンの社員が退職前に機密情報を盗み、転職先の企業で情報を売るといった事件がありました。そのため、SOCが24時間365日社内ネットワークの監視を行うことで、企業の監視の目が届きにくい退職者からの情報流出も避けられます。
テレワークを導入しやすくするため
社員の利用するPCやスマートフォンといったデバイス機器、Dropboxやオフィス365などクラウド上のアプリケーション、サーバーなどのセキュリティ監視をSOCでは網羅できます。
つまり、業務で必要な全ての社内ネットワークのセキュリティ対策をSOCで実施できるため、在宅勤務やテレワークなど多様な働き方を認めることが可能です。
SOCにセキュリティ対策を任せることで、これまで懸念点であった社外からのアクセスにおけるセキュリティ面の不安が払しょくされるからです。
多様な働き方を実現することで、優秀な社員の流出防止だけでなく、従業員に新たな選択肢を提示できるため、従業員の満足度を高めることができます。
社員の負担を軽減するため
セキュリティ部門の管理をしていた社員の業務負担を軽減します。
専門的な知識や技術が無い状態で業務をこなしていた場合、大きな負担となっていたことは間違いありません。
SOCにセキュリティ管理を任せることで、業務効率性の向上に期待ができます。
CSIRTとの違いについて
CSIRT(Computer Security Incident Response Team)は、セキュリティインシデントを対応する専門組織です。SOCとの違いは、インシデントに対応する状況が違います。SOCは社内ネットワークへの状態を常に監視し、不審なアクセスやマルウエア検知など、インシデントを予防するための対策が重点的に取られています。つまり、何かが起きる前への予防策を行う組織です。
一方で、CSIRTは社内ネットワークへ何らかの脅威が発生した場合の対応に重点が置かれています。つまり、事後処理を行う組織です。SOCが予防策を重点的に行う組織で、CSIRTは事後処理の対応に素早く対処する組織だと覚えておきましょう。
SOCを構築するために必要なもの
セキュリティ分野への豊富な知識を持つ人材の確保、SOCがカバーする範囲の明確化が必要です。SOCの特徴はインシデントの検知と自社システムへの影響を未然に防ぐことです。ただし、SOCが異常を検知した際やインシデント発生時に、SOCから指示された内容を理解し、適切に対応できる人材が不可欠になります。
セキュリティ分野への知識が豊富な人材の確保や人材育成が、SOCの効果的な運用にもつながります。
セキュリティに詳しい人材
SOCを自社に導入する場合は、セキュリティ分野への高度な知識と豊富な経験を持つ人材が複数必要です。高度な知識がないと、小さい異変や異常を発見することはできません。近年は、ウイルスソフトに引っ掛りにくいマルウエアや予兆を感じさせないサイバー攻撃も増えており、わずかな変化からサイバー攻撃を見抜けるスキルが必要になります。
ただし、国内全体でセキュリティ分野に関する人材不足が叫ばれており、優秀な人材確保はどの企業にとっても困難な状況です。そのため、SOCサービスを専門に行っている企業に外部委託してシステム監視を行う方が、コストパフォーマンス的にも有効だと見なせます。
SOCをサポートする手順
SOCが担当する業務範囲の定義、作業のマニュアル化、人材の確保、イベントの管理などを順番に決めていきます。SOCは自社に導入して運用することもできますが、SOCの構築・運用には、豊富なセキュリティー知識や経験を持つ人材が必要です。下記にサポート手順をまとめました。
- SOCの担当業務の定義
- 必要な作業をマニュアル化
- SOCの人材確保
- イベントの管理
監視対象の決定
SOCには2種類あります。まず、MSS(Managed Security Service)は、ファイアーウォールや侵入検知・防止システムなどのセキュリティソフト機器のログ監視・解析を行います。主に法人企業へのサービス・商品として提供されてきました。
一方で、サーバー、OS、データベースなどのログ監視・分析を行うのは、ディープSOCと呼ばれます。ディープSOCは、社内のインシデント発生時の対応策として取られてきたSOCサービスです。社内のOSやサーバー、データベースには企業の機密情報や顧客情報が入っており、開示すると悪用されるリスクがあるため、区別されていました。
ただし、現在ではMSSとディープSOCの区別は薄くなりつつあり、どちらもカバーするサービスを提供する企業が増えています。自社のセキュリティ環境を確認し、セキュリティ機器とネットインフラの監視をどこまで行うかを決めましょう。
イベントの管理
イベントとは、全てのネットインフラに影響がある状態変化です。例えば、ネットワーク上の一部の機能がダウンしていたり、エンドユーザーのログを通知したり、全てのシステム状態の変化がメッセージ通知されます。
イベントを適切に管理することで、システムの安定化と効率的な運用が期待できます。イベント管理の目的をまとめました。
- システムの安定化
- 効率的な運用
- 管理担当者の業務負担軽減
- コスト削減
- 稼働状況を監視し、異変や異常がないか把握
また、イベントには3種類があり、ステップと目的は下記になります。
種類 | 内容 | 具体例 |
情報 |
|
|
警告 |
|
|
例外 |
|
|
SOCサービスを利用する際のポイント
SOCを導入してどのような部分を改善したいのか、コストパフォーマンスに合ったサービスなのかを見極めて導入することが大切です。
サービスの内容
SOCは24時間365日、自社システムやデバイス機器におけるインシデントの検知を行い、サイバー上の脅威を防ぐことが最大の特徴になります。
SOCは以下のサービスを提供して、不正アクセスやマルウェア感染から社内システムを保護します。
- デバイス機器・ネットワーク機器のセキュリティ監視
- セキュリティ診断
- インシデントの評価・対応
- ログ分析とレポート作成
- SOARの構築
- エンドユーザーへのヘルプ対応
サービスにかかる費用
社員に向けての偽装メールでマルウェア感染を狙った標的型攻撃やゼロデイ攻撃といったサイバー攻撃を防ぐ機能も付いたサービスを選ぶのか、デバイス機器・ネットワーク機器のセキュリティ監視のみに留めるなど、どの対策をSOCに期待するかによって料金も異なります。
SOCサービスを提供しているベンダーは、顧客の要望に応えられるよう複数のラインナップを用意しているからです。
例えば、エヌシーアイ社の「Managed Cyber Gate」は初期費用が70万円、SOC機能を利用するためのランニングコストは月30万円と合計100万円は、初期段階で最低必要です。
ただし、準大手・中堅企業向けの利用をメインターゲットとして販売しており、他者と比べても低コスト・短期間での導入が可能です。
また「Managed Cyber Gate」は、システムやアプリケーションの未知の脆弱性を狙い企業に深刻なダメージを与えるゼロデイ攻撃を検知する機能も付いています。
ゼロデイ攻撃は、脆弱性を改善した修正プログラムの配布前に攻撃をするため、企業にとって最も深刻なダメージを与えるサイバー攻撃の1つです。
事前の対策もしづらいため、セキュリティ人材の確保や対策に悩む企業には、非常にメリットが感じられるSOCサービスと言えるでしょう。
今後、経営規模やデバイスの利用状況に応じたSOCのサービスがさらに増えてきますが、重要なのは企業の情報資産を守ることです、
セキュリティ対策への不安や人材不足に悩んでいる場合は多少費用が高くなっても、標的型攻撃やゼロデイ攻撃など、サイバー攻撃の対策がしっかり整っているSOCサービスを選ぶべきです。
一度の投資における費用は高くなりますが、セキュリティレベルが上がった安心感を覚えるだけでなく、社員の業務負担軽減のメリットも期待ができます。
サポート内容
ソフトとハード面、社内システムの安定性に関わる両面をカバーできるサービスを選ぶことが大切です。
ソフトは外部からのマルウェア感染やサイバー攻撃からの保護、ハード面に関してはシステムが日常的に安定して稼働するかといった部分に関わってくるからです。
例えば、セキュアヴェイルが提供している「NetStare 」は、セキュリティとハード面の両面を兼ね備えたSOC機能になります。
下に機能をまとめました。
セキュリティ(ソフト)マネジメント
機能 | セキュリティインシデント | セキュリティオペレーション | ログ管理/分析 | ヘルプデスク |
特徴 |
|
|
|
|
効果 |
|
システム(ハード機器)マネジメント
障害復旧 | システムオペレーション | 性能・稼働監視 | |
特徴 |
|
|
|
効果 |
|
業務がどのくらい改善されるか
セキュリティ部門を管理している社員の業務負担をどこまで軽減できるかといった点も、SOCを導入する際に考慮する1つのポイントです。
SOCを導入しても、インシデントの対応やセキュリティ状態を定期的に監視しなくてはいけない状態だと、導入する意味が薄れます。
例えば、ネットワーク機器・デバイス機器のセキュリティ監視だけでなく、サイバー攻撃への対策も含まれているSOCを導入すれば、気にかけておく部分が減るので、管理者の負担を減らすことができます。
まとめ
SOC導入のメリット、必要な理由、SOC導入の際のポイントについてまとめました。
メリット | 必要な理由 | 見極めるポイント | |
内容 |
|
|
|