企業のセキュリティの要・SOC(Security Operation Center)|どうやって構築するのがおすすめ?
サイバー攻撃は、ここ10年くらいの間、頻繁に大きな事件を引き起こしています。そしてここ数年ではさらにその傾向が強くなり、ある程度メジャーなサイトは相当に高度なセキュリティを構築することが必須となっています。
こうした背景の元、最近ではSOCと呼ばれる組織を構築し、より堅固なセキュリティを確保しようという動きが活発になっています。
本稿では、企業のセキュリティの要であるSOCの概要と、その構築のポイントについて解説いたします。
SOCはサイバー攻撃の検出や検知を行う防衛組織
SOCはSecurity Operation Centerの略で、24時間365日の間、休むことなくネットワークやデバイスのセキュリティ監視を行う組織を指します。
SOCの役割は、サイバー攻撃の検出、検知を行うことです。具体的には、ネットワークセキュリティを担うさまざまな機器からファイアウォールやIDS・IPS、ウィルス対策ソフト、各種フィルタリングなどのログを分析し、サイバー攻撃の痕跡がないかのチェックを行うこと、また、こうした機器からのアラートを受け、ネットワークやデバイスのチェックを行うことが主な任務です。
ログの解析、と一言でいっても、昨今のネットワーク事情は非常に複雑であり、また攻撃者の手段も巧妙の一途を辿っているため、解析には高度な知識と経験が求められます。つまり、SOCはネットワークセキュリティのスペシャリスト集団であり、企業のネットワークをサイバー攻撃から守るために攻撃の検知を主な任務としている組織なのです。
SOCの業務内容とCSIRTとの違い
SOCの業務の主な内容は、ネットワークへの攻撃を監視することです。企業のセキュリティを担う組織としては、ほかにもCSIRT(Computer Security Incident Response Team)があります。こちらも、企業のネットワークセキュリティを高めるための組織という点では、SOCと同じです。
両者の違いは、担う任務にあります。SOCは攻撃の監視という、防御的な色合いの任務を担うのに対し、CSIRTは、いざセキュリティ攻撃を受け、インシデント(事件・事故)が発生した時に、その対応・対策を行って事態を収束させるのが主な任務です。
火事にたとえるなら、SOCは火元の安全が確保されているか、火災報知器は作動していないかといった、火事を防ぐために動くのに対し、CSIRTは、発生した火事を一刻も早く、被害を最小限に留めて沈下させるために動きます。
SOCを自分たちで組織するのと外注するのはどちらがいいのか?
それでは、SOCを構築するのに、自社で組織するのと外部に委託するのとはどちらが賢いのでしょうか。
SOCは先程もご説明したとおり、高度なセキュリティ人材の集合体です。つまり、それだけの人材を確保しなければなりません。自社でそうした高度なセキュリティ人材を複数人確保できるのであれば、自社で組織する方が小回りが効き、また迅速に行動できるので外注するより遥かに有利だといえます。
ただし、一般的にこうした人材を確保するのは難しく、ある程度規模の大きな企業でなければ難しいでしょう。また、専門部署を設けることになるためコストもかかります。
最近ではSOCを専門とするセキュリティ企業も増えてきています。自社でのSOC構築が難しい企業の場合は、こうしたSOC専門のセキュリティ会社に外部委託するのも有効な手段です。
彼らは複数の同様の顧客を抱えているため、自社構築のSOCに比べると経験やノウハウが豊かです。また、基本はセキュリティ機器のログをリモートで送信し、それを解析しますが、場合によっては社内のサーバやOS、データベースといったデバイスやソフトウェアのログの解析を依頼し、より深いレベルでセキュリティ監視をしてもらうことも可能です。
対費用効果で考えると、セキュリティ専門会社のSOCに業務委託するのも賢明な方法だと考えられます。
SOCを構築する際のポイント
自社でSOCを構築する場合、どういった点に注意すべきでしょうか。
まず、SOCの任務や作業を「具体的」に落とし込むことが必要です。このためには、SOCの守備範囲(SOCが担う役割や担当する業務の境界)を明確にし、それを成文化することが有効です。自社において、SOCとは何か、を明確にして、周知するわけです。
続いて、SOCの具体的な作業内容を定義し、これも文書化します。定型的な作業はすべてマニュアル化して、属人性を排除します。
そして、SOC構築において最大のポイントとなる、SOCに適した人材を確保します。先ほども述べましたが、SOCには高度なセキュリティ知識と経験が必要です。複数のログを総合的に照合して、攻撃の痕跡を発見しなければなりません。こうした業務に経験がある、または業務に適性があることが、SOC人材の条件です。
SOCは、もはや企業セキュリティの必須条件
昨今のサイバー攻撃の事例を見ると、標的型攻撃を初め、その手口は年々高度化・巧妙化しています。これまではネットワーク管理者やサーバ管理者が個人でセキュリティを監視していましたが、もはや個人で対抗するのは難しい時代になってきました。
こうした背景から、SOCは企業セキュリティにとって必須になってきているのではないでしょうか。