セキュリティ オペレーションセンター(SOC)

脅威の検知と検証を専門に行うチーム

「日本の脅威レポート」

セキュリティ オペレーションセンター(SOC)とは?

しばしばSOCとも呼ばれるセキュリティ オペレーションセンターとは、実在する物理的な場所またはバーチャル組織のいずれかの中央司令部で、企業が直面する可能性のあるセキュリティ問題とインシデントの監視、検知と対応を行います。より規模の大きいインシデント検知と対応(IDR)の一部としてSOCを実装するモデルには、インハンスモデル、共同マネージドモデル、そして完全マネージドまたはアウトソースモデルなどがあります。

セキュリティ オペレーションセンターと聞くと、複雑なマップ、高価なモニターがあり、ヘッドセットをしたアナリストがたくさんいる暗い部屋といった、映画に出てくる典型的な作戦指令室を思い浮かべるかもしれません。しかし、SOCは大抵の場合、物理的なものや部屋ではありません。正確には、SOCとは、環境内における脅威を検知、検証するための一連のセキュリティ関連の役割と責任を持ち、正式に組織立てされた専門チームのことです。

 

誰がSOCを必要とするのか

企業の規模や目的に関わらず、セキュリティ運用とインシデントを常に監視し、発生するあらゆる問題に対応する職務を担う組織レベルの専門チームを持つことには高い価値があります。サイバーセキュリティチームの責任は極めて複雑な場合があります。チームメンバーが日常的タスクを実施するのを助けるSOCは、戦術コンソールとしてだけでなく、より大きく長期的なセキュリティのトレンドについてチームが知識を得るための戦略センターとしても役立ちます。

典型的なセキュリティ オペレーションセンターは、テクノロジーおよびツールを介した潜在的脅威の通知など、組織が遭遇するあらゆるセキュリティ警告および従業員、パートナーや外部ソースを追跡します。SOCはその後、報告された脅威について調査と検証を行い、過検知(報告された脅威が実際は無害である場合)ではないことを確認します。セキュリティインシデントが有効であり、対応が必要と見なされた場合、SOCは、対応と復旧のためインシデントを適切な人員またはチームに引き渡します。

全体的なインシデント検知と対応プログラムの一部としてセキュリティ オペレーションセンターを効率的に運用するには、専門知識、プロセスと効率性を高度に組み合わせる必要があります。組織によっては、SOCのためにリソースを提供してインハンスで支えることができない場合もあるのはこのためです。その代わり、多くの組織は、SOCを外部機関に管理させたり、完全にアウトソースする選択を取ります。

土台を築く作業

組織にとってSOCが実用的な選択肢となるには、支えとなる数多くのコンポーネントが既に導入されている必要があります。第一に、優れた攻撃面管理プログラムが必要です。これには、脅威の侵入経路と脱出経路すべてにおける脅威防止テクノロジー、定期的な脆弱性スキャン(および関連するパッチ導入)、ペンテスト、ユーザー認証と承認、資産管理、外部アプリケーションテスト(および関連するパッチ導入)、リモートアクセス管理などが含まれます。

次にインシデント対応計画が必要です。通常、SOCをIDRプログラムに導入する主な目的の1つは、組織の環境内における脅威検知の有効性を向上させることにあります。侵害が発見された後のインシデント対応プロセスの策定と定期的な検証を行っていない場合、効果的なIDRプログラムの構成要素の一部にのみ対処していることになります。

最後に、災害復旧計画が定められていることも重要です。侵害は、組織が復旧しなければならない大惨事の1つに過ぎません。検知された侵害の範囲を明らかにし、影響を受けた資産やアプリケーション、ユーザーの封じ込めを完了した後、通常通りの業務運用プロセスを復旧させるための計画が事前に策定されている必要があります。これが惨事復旧です。

利用開始にあたって

セキュリティ オペレーションセンター固有の複雑さからして、オペレーションセンターを設定する際に考慮すべき要素は多数あります。インハウスあるいはアウトソースによる設置になるかどうかに関わらず、SOCを成功させるには次の3つの要素について準備することが必要不可欠です。

  • :SOCアナリストの役割と責任を理解することは、SOCを実行するテクノロジーを選択する上で重要な要件です。設置するチームとそのチームに与えるタスクは、組織の既存の構造に依存します。例えば、既存の脅威検知と対応機能を強化するためにSOCを構築する場合には、どの特定のタスクについてSOCチームメンバーが責任を負い、どのタスクについてSOC以外のIDRチームが責任を負うのか考慮する必要があります。さらに、高精度警告の処理、低精度警告の検証、警告のエスカレート、未知の脅威の追跡など、それぞれ誰が行うのかについてて明確に理解してもうため、SOCアナリストたちの間で責任を分担する必要があります。明確な責任と序列が確立されるように、多くのセキュリティ オペレーションセンターは階層的な従業員のフレームワークで運用されています。
  • テクノロジー:SOCでどのテクノロジーを利用するかを決定する際には、先述の通りに役割と責任を確立するために費やした時間の効果が表れます。どのテクノロジーを使用するか大概の場合は、ログの集約、ユーザー行動分析、エンドポイントの調査、リアルタイムサーチなどのためのツールを組み合わせる必要があります。SOCアナリストがどのようにテクノロジーを利用しているかを確認し、既存のテクノロジーがSOCプロセスに役立っているのかSOCプロセスを妨害しているかそして新しいテクノロジーで置き換える必要があるかを判断することが重要です。さらに、アナリストによるコラボレーションを可能にするためのコミュニケーションツールを確保することも重要です。
  • プロセス:先述の通り、人とテクノロジーが従うプロセスを確立することは、SOCを開始する際に考慮する必要のある最後のコンポーネントです。セキュリティインシデントの検証、報告、エスカレーションまたは他のチームへの引き渡しを行う必要がある際にはどうすればよいのでしょうか?どのようにしてメトリクスを収集して分析するのでしょうか?こうしたプロセスには、調査リードを重要性の順に処理できるだけの十分な精度があり、その一方では分析プロセスを特定することのない十分な柔軟性を兼ね備えている必要があります。プロセスはSOCの有効性を左右するものであり、適切に設定するための労力を費やす価値があります。

アウトソースされたSOCプロバイダーと連携している場合にも上記は当てはまります。SOCは、信頼された組織的パートナーとなります。このため、コミュニケーション、透明性の確保、フィードバック、コラボレーションを積極的かつ定期的に行い、SOCが成功して最大限の効果を発揮するようにすることが必要不可欠です。

" class="hidden">红网家居频道