コラム

2023-06-13

SOC(Security Operation Center)

近年、ランサムウェア攻撃やEmotet感染などによるセキュリティ事故が続いているのはご存じかと思います。
企業や団体のセキュリティに対する意識も高くなっていると思われ、弊社にはSOCやCSIRTを構築したいとのご相談が増えています。

今回はSOCについていろいろとお話をさせていただきます。

<SOCとは>

改めてSOCとはどんなものなのでしょうか。

組織のITシステムに対するネットワーク不正侵入、DDoS攻撃、ワームなどのサイバー空間の脅威に対応するために、その組織内に構成されるか、外部に委託(アウトソーシング)される。
企業などの組織では、従来はサーバ・ネットワーク分野の技術者が脅威に対応していたが、近年のサイバー攻撃の高度化に伴い、情報セキュリティに特化した技術者が対応するようになってきた。

(出典: フリー百科事典『ウィキペディア(Wikipedia))

と言われています。

<SOCを作る目的>

SOCを作りたい、SOCが必要と思われたのは、特に外部からの攻撃に対してセキュリティを強化したいという理由が全てではないと思いますが、多いのではないかと思います。

しかし、そうではない場合もあり、経営層からセキュリティ強化の指示があり、堅牢なセキュリティシステムの中の必要なアイテムだと思うからと漠然とした目的でお問合せいただいたケースもありました。

明確な目的がなければSOCを作るべきではないという訳ではありませんが、設計、構築、運用など様々な場面で判断が必要になるため、しかもサイバー攻撃への対応は待ったなしなので、目的であっても明確にしておくことが大事だと思います。

<SOCのあるべき姿>

次にSOCに期待すること、あるべき姿はどんなものでしょうか。

SOCを作る上で非常に重要な要素で、構築後「こんなはずじゃなかった」「イメージと違う」などの意見が出ることが度々あります。
サイバー攻撃を検知して通知し迅速に対処することで被害を最小限に収めることが最も現実的なあるべき姿ですが、昨今では攻撃を予測したり、様々な機器や情報と連携して相関的に分析を行い検知精度や対処時間を短縮するなどの取り組みも見られます。
自組織で構築したいSOCはどのレベルのものなのか、この後の項目も考慮して検討する必要があります。

<SOCで何をする>

あるべき姿と同様に重要な項目でSOCの業務について検討する必要があります。

というのも、企業や団体の規模や業態などにもよりますが、サイバー攻撃への対処が常に必要ではないことが多く、何もないとき(平常時)の活動も事前に検討すべきです。

  • 攻撃を受けた時に迅速かつ円滑に対処できるよう訓練を行う
  • 最新動向について情報収集をし有事の対処に備える
  • スタッフのスキルアップ(研修)を行う
  • 組織内にセキュリティ対策の啓蒙(社内教育など)を行う

などをセキュリティ責任者やCSIRTと連携して実行すると良いでしょう。
消防署が火事や災害がないとき、訓練や火災防止の呼びかけなどをしているのと似ているかもしれません。

<SOCに必要なもの>

最後に最も重要なリソースです。
方針決定に最も多くの時間がかかる項目です。


  • 24時間365日体制で監視する場合は6名程度の人員が必要になります。昨今は省力化や自動化が進み、少ない人数でオペレーションも可能ですが、人不足と言われている中で24時間体制で勤務できる人員の確保は難しいと言えます。

  • SOCのシステムもクラウド化が進み以前に比べれば初期費用も少なくなりましたが、ネットの高速化に伴い扱うデータ量が多くなったためセキュリティに関してもデータの取り扱い量が多くなっています。分析を行うSIEM(Security Information and Event Management)は分析するデータ量でライセンスの価格が決まるものもあり、ログを保存しておく種類や期間によってクラウドの利用料が変動するため「予算が足りず監視が止まる」などという事がないよう、慎重な設計と予算の計画を作成する必要があります。

  • SOC構築を検討する際に「費用対効果」の算出を求められることは度々あり、非常に難しい課題の一つでもあります。サイバー攻撃による被害の防止や低減、平常時の啓蒙活動によるリテラシーの向上など要素はあるものの、攻撃はいつ来るか、被害はいつ起こるか予測しにくため、SOCがなかった場合に算出した被害額になるのか、リテラシーが向上しなければ事故は起こるのかなど、激論が交わされ会議が紛糾することもあります。
<まとめ>

セキュリティ対策を強化することは非常に良いことだと思いますが、SOCを作るのは容易なことではありません。
もし、SOC構築を検討されている際は今回お話した内容を参考にしていただければと思います。

SOCを構築したい、SOCを構築すべきか、などお困りの際はお気軽にお声がけください。